Direttive Content Security Policy (CSP)

Se utilizzi le direttive Content Security Policy (CSP) per l’mplementazione di Adobe Target, aggiungi le seguenti direttive CSP quando utilizzi at.js 2.1 o versione successiva:

  • connect-src con *.tt.omtrdc.net inserito nell’elenco Consentiti. Necessario per consentire la richiesta di rete all’edge Target.
  • style-src unsafe-inline. Necessario per il controllo di pre-hiding e sfarfallio.
  • script-src unsafe-inline. Necessario per consentire l’esecuzione di JavaScript che potrebbe far parte di un’offerta HTML.

Domande frequenti

Consulta le seguenti domande frequenti sui criteri di sicurezza:

I criteri di condivisione delle risorse tra diverse origini (Cross Origin Resource Sharing, CORS) e i criteri di Flash tra più domini presentano problemi di sicurezza?

Il modo consigliato per implementare il criterio CORS è quello di consentire l’accesso solo alle origini attendibili che lo richiedono tramite un inserì nell'elenco Consentiti di domini affidabili. Lo stesso si può dire per la politica Flash tra domini diversi. Alcuni Adobe Target i clienti sono preoccupati per l'uso di caratteri jolly per i domini in Target. Il problema è che se un utente ha effettuato l'accesso a un'applicazione e visita un dominio consentito dal criterio, qualsiasi contenuto dannoso in esecuzione su quel dominio può potenzialmente recuperare contenuto sensibile dall'applicazione ed eseguire azioni nel contesto di sicurezza dell'utente connesso. Questo viene comunemente definito CSRF (Cross-Site Request Forgery).

In un Adobe Target Tuttavia, l'attuazione di tali politiche non dovrebbe rappresentare una questione di sicurezza.

"adobe.tt.omtrdc.net" è un dominio di proprietà di Adobe. Adobe Target è uno strumento di test e personalizzazione e si prevede che: Target può ricevere ed elaborare le richieste da qualsiasi luogo senza richiedere alcuna autenticazione. Queste richieste contengono coppie chiave/valore utilizzate per test A/B, consigli o personalizzazione dei contenuti.

Adobe non memorizza informazioni personali (PII, Personally Identifiable Information) o altre informazioni sensibili su Adobe Target server edge, a cui fa riferimento "adobe.tt.omtrdc.net".

Ci si aspetta che Target è accessibile da qualsiasi dominio tramite chiamate JavaScript. L'unico modo per consentire questo accesso è quello di sfruttare "Access-Control-Allow-Origin" con un carattere jolly.

In questa pagina