DocumentationGuide du développeur de Target

Directives relatives aux politiques de sécurité du contenu (CSP)

Last update: Sat Jul 20 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Rubriques :

Créé pour :

  • Développeur

Si vous utilisez la stratégie de sécurité du contenu (CSP) pour votre implémentation Adobe Target, vous devez ajouter les directives CSP suivantes lors de l’utilisation de at.js 2.1 ou version ultérieure :

  • connect-src avec *.tt.omtrdc.net placé sur la liste autorisée. Nécessaire pour autoriser la requête réseau à Target edge.
  • style-src unsafe-inline. Obligatoire pour le prémasquage et le contrôle du scintillement.
  • script-src unsafe-inline. Obligatoire pour autoriser l’exécution de JavaScript qui peut faire partie d’une offre HTML.

Questions fréquentes

Consultez les questions fréquentes suivantes au sujet des politiques de sécurité :

Les politiques CORS (Cross Origin Resource Sharing) et les politiques Flash Cross-domain présentent-elles des problèmes de sécurité ?

La méthode recommandée pour mettre en œuvre la politique CORS consiste à autoriser l’accès aux seules origines approuvées qui le nécessitent via une liste autorisée de domaines approuvés. Il en va de même pour la politique Flash Cross-domain. Certains clients Target s’inquiètent de l’utilisation de caractères génériques pour les domaines dans Target. Le problème est que si un utilisateur est connecté à une application et qu’il visite un domaine autorisé par la stratégie, tout contenu malveillant s’exécutant sur ce domaine peut potentiellement récupérer du contenu sensible de l’application et effectuer des actions dans le contexte de sécurité de l’utilisateur connecté. Cette situation est généralement appelée Cross-Site Request Forgery (CSRF).

Toutefois, dans une implémentation de Target, ces stratégies ne doivent pas représenter un problème de sécurité.

« adobe.tt.omtrdc.net » est un domaine détenu par Adobe. Adobe Target est un outil de test et de personnalisation. Il est prévu que Target puisse recevoir et traiter des requêtes provenant de n’importe où sans nécessiter d’authentification. Ces requêtes contiennent des paires clé/valeur utilisées pour les tests A/B, les recommandations ou la personnalisation du contenu.

Adobe ne stocke pas d’informations d’identification personnelle ni d’autres informations sensibles sur les serveurs Edge Adobe Target, vers lesquels pointe "adobe.tt.omtrdc.net".

Il est prévu que Target soit accessible depuis n’importe quel domaine via des appels JavaScript. La seule façon d’autoriser cet accès consiste à appliquer "Access-Control-Allow-Origin" avec un caractère générique.

Comment puis-je autoriser ou empêcher mon site d’être incorporé en tant qu’iFrame sous des domaines étrangers ?

Pour permettre au compositeur d’expérience visuelle (VEC) d’incorporer votre site web dans un iFrame, la CSP (si elle est définie) doit être modifiée dans le paramètre de votre serveur web. Les domaines Adobe doivent être mis en liste blanche et configurés.

Pour des raisons de sécurité, vous pouvez empêcher votre site d’être incorporé en tant qu’iFrame sous des domaines étrangers.

Les sections suivantes expliquent comment autoriser ou empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame.

Autorisation du VEC à incorporer votre site dans un iFrame

La solution la plus simple pour permettre au VEC d’incorporer votre site web dans un iFrame est d’autoriser *.adobe.com, qui est le caractère générique le plus large.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec le caractère générique le plus large

Vous pouvez uniquement autoriser le service Adobe réel. Ce scénario peut être réalisé en utilisant *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec application de portée Experience Cloud

L’accès le plus restrictif au compte d’une entreprise peut être obtenu en utilisant https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, où <Client Code> représente votre code client spécifique.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec clientcode scoped

NOTE
Si Launch/Tag est implémenté, il doit également être déverrouillé.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Empêcher le VEC d’incorporer votre site dans un iFrame

Pour empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame, vous pouvez restreindre à "vous" uniquement.

Par exemple :

Content-Security-Policy: frame-ancestors 'self'

Comme illustré ci-dessous (cliquez pour agrandir) :

Erreur CSP

Le message d'erreur suivant s'affiche :

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3