內容安全性原則及 Experience Cloud Identity Service content-security-policies-and-the-experience-cloud-id-service

內容安全性原則 (CSP) 是 HTTP 標題和安全性功能,可讓瀏覽器控制要在網頁上載入的資源類型。如果您使用 ID 服務,且具備使用白名單接受來自受信任網域之資源的嚴格 CSP,請詳閱本節。您必須將此處所列的 Adobe 網域新增至 CSP 白名單。

CSP 檢視 section-5fde5c00a678455c914b8307a8caab82

CSP 會利用 HTTP 標頭 Content-Security-Policy 來控制瀏覽器要接受或在網頁中要載入的資源類型。套用 CSP 能協助您避免以下情形:

  • 在來源不明或未包含在白名單中的情況下載入 JavaScript 檔案。
  • 跨網站指令碼 (XXS) 攻擊。
  • 資料插入攻擊。
  • 網站損毀攻擊。
  • 惡意軟體散發。

CSP 的使用十分常見,且眾所周知。本文件的目的並非詳細說明 CSP (如需詳細資訊,請參閱下方連結中的相關資訊)。重要的是,您必須了解您在使用時應將何種 Adobe 網域名稱新增至 CSP,並擬定嚴格的安全性原則。新增這些網域,可讓存取您的網站的訪客瀏覽器能夠對您使用的 Experience Cloud 資源進行重要呼叫。

加入白名單的 Experience Cloud 網域 section-30693e9a96834edfbf04de9e698cf2aa

針對您所使用的每個 Experience Cloud 解決方案或服務,請將下列網域名稱或 URL 新增至您的 CSP。

Experience Cloud 解決方案或服務
說明
AppMeasurement

修改您的 CSP 以包含以下項目:

  • *.2o7.net
  • *.omtrdc.net
Target
修改您的 CSP 以包含 *.tt.omtrdc.net。
Experience Cloud ID 服務與 Audience Manager

修改 CSP 以納入以下網域。

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • 如果您是使用 Adobe Launch 部署標籤,也請將 https://assets.adobedtm.com 新增至網域清單。

對 demdex.net 網域發出的呼叫用於產生 Cookie 與 Experience Cloud Identity Service 及用於 ID 同步。亦請參閱了解向 Demdex 網域進行的呼叫

Activity Map 增效模組
修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 日前即已安裝 Activity Map,您的瀏覽器仍會收到 *.omniture.com 的原始請求,但會將其重新導向 *.adobe.com。
Advertising Analytics
如果您對查詢字串參數有控制權,請務必將 `s_kwcid` 和 `ef_id` 參數列入白名單。就技術而言,Advertising Analytics 僅會使用 `s_kwcid`,但如果您取得 Ad Cloud Search 或 DSP,系統也會使用 `ef_id`。這些查詢字串參數均為英數字元。`s_kwcid` 參數會使用「!」字元,而 `ef_id` 參數會使用「:」字元。如果您禁止在 URL 中使用「!」字元,您也需要將其列入白名單。
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a