Directives relatives aux politiques de sécurité du contenu (CSP)

Dernière mise à jour : 2023-07-27
  • Créé pour :
  • Developer

Si vous utilisez la variable Stratégie de sécurité du contenu (CSP) pour votre Adobe Target implémentation, vous devez ajouter les directives CSP suivantes lors de l’utilisation de at.js 2.1 ou version ultérieure:

  • connect-src avec *.tt.omtrdc.net placé sur la liste autorisée. Nécessaire pour autoriser la requête réseau à Target edge.
  • style-src unsafe-inline. Obligatoire pour le prémasquage et le contrôle du scintillement.
  • script-src unsafe-inline. Obligatoire pour autoriser l’exécution de JavaScript qui peut faire partie d’une offre HTML.

Questions fréquentes

Consultez les questions fréquentes suivantes au sujet des politiques de sécurité :

Les politiques CORS (Cross Origin Resource Sharing) et les politiques Flash Cross-domain présentent-elles des problèmes de sécurité ?

La méthode recommandée pour mettre en œuvre la politique CORS consiste à autoriser l’accès aux seules origines approuvées qui le nécessitent via une liste autorisée de domaines approuvés. Il en va de même pour la politique Flash Cross-domain. Certains Target Les clients s’inquiètent de l’utilisation de caractères génériques pour les domaines dans Target. Le problème est que si un utilisateur est connecté à une application et qu’il visite un domaine autorisé par la stratégie, tout contenu malveillant s’exécutant sur ce domaine peut potentiellement récupérer du contenu sensible de l’application et effectuer des actions dans le contexte de sécurité de l’utilisateur connecté. Cette situation est généralement appelée Cross-Site Request Forgery (CSRF).

Dans un Target implémentation, cependant, ces stratégies ne doivent pas représenter un problème de sécurité.

« adobe.tt.omtrdc.net » est un domaine détenu par Adobe. Adobe Target est un outil de test et de personnalisation. Il est prévu que Target puisse recevoir et traiter des requêtes provenant de n’importe où sans nécessiter d’authentification. Ces requêtes contiennent des paires clé/valeur utilisées pour les tests A/B, les recommandations ou la personnalisation du contenu.

Adobe ne stocke pas d’informations d’identification personnelle ni d’autres informations sensibles sur Adobe Target serveurs Edge, vers lesquels pointe "adobe.tt.omtrdc.net".

Il est prévu que Target soit accessible depuis n’importe quel domaine via des appels JavaScript. La seule façon d’autoriser cet accès consiste à appliquer "Access-Control-Allow-Origin" avec un caractère générique.

Comment puis-je autoriser ou empêcher mon site d’être incorporé en tant qu’iFrame sous des domaines étrangers ?

Pour autoriser le Compositeur d’expérience visuelle (VEC) pour incorporer votre site web dans un iFrame, la CSP (si elle est définie) doit être modifiée dans le paramètre de votre serveur web. Adobe Les domaines doivent être placés sur la liste autorisée et configurés.

Pour des raisons de sécurité, vous pouvez empêcher votre site d’être incorporé en tant qu’iFrame sous des domaines étrangers.

Les sections suivantes expliquent comment autoriser ou empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame.

Autorisation du VEC à incorporer votre site dans un iFrame

La solution la plus simple pour permettre au VEC d’incorporer votre site web dans un iFrame consiste à autoriser *.adobe.com, qui est le caractère générique le plus large.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec le caractère générique le plus large

Vous pouvez n’autoriser que le Adobe service. Ce scénario peut être réalisé en utilisant *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec application de portée Experience Cloud

L’accès le plus restrictif au compte d’une entreprise peut être obtenu en utilisant https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, où <Client Code> représente votre code client spécifique.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec codage client
REMARQUE

Si vous avez Launch/Tag implémenté, il doit également être déverrouillé.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Empêcher le VEC d’incorporer votre site dans un iFrame

Pour empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame, vous pouvez restreindre à "vous" uniquement.

Par exemple :

Content-Security-Policy: frame-ancestors 'self'

Comme illustré ci-dessous (cliquez pour agrandir) :

Erreur CSP

Le message d'erreur suivant s'affiche :

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

Sur cette page