Políticas de segurança de conteúdo e o serviço de identidade da Experience Cloud

Uma Política de Segurança de Conteúdo (CSP) é um cabeçalho HTTP e um recurso de segurança que fornece aos navegadores controle sobre que tipo de recursos são carregados em uma página da Web. Revise esta seção se você usar o serviço de ID e tiver CSPs restritas que usam listas de permissões para aceitar recursos de domínios confiáveis. Será necessário adicionar os domínios da Adobe listados aqui às suas listas brancas de CSP.

Análise da CSP

As CSPs usam o cabeçalho HTTP Content-Security-Policy para controlar o tipo de recursos que os navegadores aceitam ou carregam em uma página. A aplicação de um CSP pode ajudá-lo a evitar:

  • O carregamento de arquivos JavaScript se a fonte for desconhecida ou não estiver incluída em uma lista de permissões.
  • Ataques de script entre sites (XXS).
  • Ataques de injeção de dados.
  • Ataques de deformação do site.
  • Distribuição de malware.

A utilização de documentos de estratégia por país é comum e bem compreendida. Não é objetivo desta documentação explicar em detalhes os documentos de estratégia por país (para mais informações, consulte os links de informação relacionadas abaixo). É importante saber quais nomes de domínio da Adobe você deve adicionar a uma CSP se você os utilizar e tiver políticas de segurança restritas. A adição desses domínios permite que os navegadores de visitantes que acessam seu site façam essas chamadas importantes para os recursos da Experience Cloud que você usa.

Domínios da Experience Cloud para listas de permissões

Adicione esses nomes de domínio ou URLs à CSP para cada solução ou serviço da lista da Experience Cloud que você usa.

Solução ou serviço da Experience Cloud Descrição

AppMeasurement

Modifique sua CSP para incluir o seguinte:

  • *.2o7.net
  • *.omtrdc.net

Target

Modifique sua CSP para incluir *.tt.omtrdc.net.

Serviço da Experience Cloud ID e Audience Manager

Modifique sua CSP para incluir os domínios abaixo.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Se você usar o Adobe Launch para implantar tags, também precisará adicionar https://assets.adobedtm.com à lista de domínios.

As chamadas para o domínio demdex.net são usadas para gerar os Cookies e o Serviço de identidade da Experience Cloud e para sincronizações de ID. Consulte, Compreender as chamadas para o domínio Demdex.

Plug-in do Activity Map

Modifique sua CSP para incluir *.adobe.com. **Nota**: Se você já tiver o Activity Map instalado antes de janeiro de 2020, seu navegador ainda verá uma solicitação inicial para *.omniture.com, mas será redirecionado para *.adobe.com.

Advertising Analytics

Se você tiver controles dos parâmetros da sequência de consulta, adicione os parâmetros "s_kwcid" e "ef_id" à lista de permissões. Tecnicamente, o Advertising Analytics usa somente "s_kwcid", mas se você coletar a Pesquisa da Ad Cloud ou o DSP, ele também usará "ef_id". Esses parâmetros de sequência de consulta são alfanuméricos. O parâmetro `s_kwcid` usa o caractere "!" e o parâmetro `ef_id' usa o caractere ":". Se você estiver bloqueando o caractere "!" no URL, é necessário incluí-lo na lista de permissões.

Nesta página