内容安全策略和 Experience Cloud Identity 服务

内容安全策略 (CSP) 是一种 HTTP 标头和安全功能,该功能使浏览器能够控制在网页上加载的资源类型。如果您使用 ID 服务并具有严格的 CSP(使用白名单接受来自受信任域的资源),请查看此部分内容。您需要将此处列出的 Adobe 域添加到您的 CSP 白名单中。

CSP 审查

CSP 使用 HTTP 标头 Content-Security-Policy 来控制浏览器在页面上接受或加载的资源类型。应用 CSP 可帮助阻止以下情况:

  • 当源未知或未包含在白名单中时,阻止加载 JavaScript 文件。
  • 跨站点脚本 (XXS) 攻击。
  • 数据注入攻击。
  • 网站篡改攻击。
  • 恶意软件分发。

CSP 得到了广泛使用和认可。本文档并非旨在详细介绍 CSP(有关更多信息,请访问下面提供的相关信息链接)。让您了解在使用严格 CSP 策略时应该将哪些 Adobe 域名添加到 CSP 白名单中才是本文档的重点。添加这些域后,访问您网站的访客浏览器便可以对您使用的 Experience Cloud 资源进行重要调用。

要添加到白名单的 Experience Cloud 域

对于您使用的每个 Experience Cloud 解决方案或服务,将这些域名或 URL 添加到您的 CSP 白名单中。

Experience Cloud 解决方案或服务 描述

AppMeasurement

修改您的 CSP 白名单以包含以下域:

  • *.2o7.net
  • *.omtrdc.net

Target

修改您的 CSP 以包含 *.tt.omtrdc.net

Experience Cloud ID 服务和 Audience Manager

修改您的 CSP 以包含以下域。

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • 如果您使用 Adobe Launch 来部署标记,则还必须将 https://assets.adobedtm.com 添加到域列表。

demdex.net 域调用可用于生成 Cookie 和 Experience Cloud Identity 服务及 ID 同步。另请参阅了解 Demdex 域调用

Activity Map 插件

修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 月之前已经安装 Activity Map,您的浏览器仍会看到对 *.omniture.com 的初始请求,但会被重定向到 *.adobe.com。

Advertising Analytics

如果您对查询字符串参数应用了控制,请务必将参数“s_kwcid”和“ef_id”列入白名单。从技术上讲,Advertising Analytics 仅使用“s_kwcid”,但如果您选取 Ad Cloud Search 或 DSP,则它也使用“ef_id”。这些查询字符串参数采用的是字母数字。“s_kwcid”参数使用“!”字符,“ef_id”参数使用“:”字符。如果您在 URL 中阻止“!”字符,则还需要将该字符列入白名单。

On this page

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now