Políticas de segurança de conteúdo e o serviço de identidade da Experience Cloud content-security-policies-and-the-experience-cloud-id-service

Uma Política de Segurança de Conteúdo (CSP) é um cabeçalho HTTP e um recurso de segurança que fornece aos navegadores controle sobre que tipo de recursos são carregados em uma página da Web. Revise esta seção se você usar o serviço de ID e tiver CSPs restritas que usam listas de permissões para aceitar recursos de domínios confiáveis. Será necessário adicionar os domínios da Adobe listados aqui às suas listas brancas de CSP.

Análise da CSP section-5fde5c00a678455c914b8307a8caab82

As CSPs usam o cabeçalho HTTP Content-Security-Policy para controlar o tipo de recursos que os navegadores aceitam ou carregam em uma página. A aplicação de um CSP pode ajudá-lo a evitar:

  • O carregamento de arquivos JavaScript se a fonte for desconhecida ou não estiver incluída em uma lista de permissões.
  • Ataques de script entre sites (XXS).
  • Ataques de injeção de dados.
  • Ataques de deformação do site.
  • Distribuição de malware.

A utilização de documentos de estratégia por país é comum e bem compreendida. Não é objetivo desta documentação explicar em detalhes os documentos de estratégia por país (para mais informações, consulte os links de informação relacionadas abaixo). É importante saber quais nomes de domínio da Adobe você deve adicionar a uma CSP se você os utilizar e tiver políticas de segurança restritas. A adição desses domínios permite que os navegadores de visitantes que acessam seu site façam essas chamadas importantes para os recursos da Experience Cloud que você usa.

Domínios da Experience Cloud para listas de permissões section-30693e9a96834edfbf04de9e698cf2aa

Adicione esses nomes de domínio ou URLs à CSP para cada solução ou serviço da lista da Experience Cloud que você usa.

Solução ou serviço da Experience Cloud
Descrição
AppMeasurement

Modifique sua CSP para incluir o seguinte:

  • *.2o7.net
  • *.omtrdc.net
Target
Modifique sua CSP para incluir *.tt.omtrdc.net.
Serviço da Experience Cloud ID e Audience Manager

Modifique sua CSP para incluir os domínios abaixo.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Se você usar o Adobe Launch para implantar tags, também precisará adicionar https://assets.adobedtm.com à lista de domínios.

As chamadas para o domínio demdex.net são usadas para gerar os Cookies e o Serviço de identidade da Experience Cloud e para sincronizações de ID. Consulte, Compreender as chamadas para o domínio Demdex.

Plug-in do Activity Map
Modifique sua CSP para incluir *.adobe.com. **Nota**: Se você já tiver o Activity Map instalado antes de janeiro de 2020, seu navegador ainda verá uma solicitação inicial para *.omniture.com, mas será redirecionado para *.adobe.com.
Advertising Analytics
Se você tiver controles dos parâmetros da sequência de consulta, adicione os parâmetros "s_kwcid" e "ef_id" à lista de permissões. Tecnicamente, o Advertising Analytics usa somente "s_kwcid", mas se você coletar a Pesquisa da Ad Cloud ou o DSP, ele também usará "ef_id". Esses parâmetros de sequência de consulta são alfanuméricos. O parâmetro `s_kwcid` usa o caractere "!" e o parâmetro "ef_id" usa o caractere ":". Se você estiver bloqueando o caractere "!" no URL, é necessário incluí-lo na lista de permissões.
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a