Diretivas da Política de segurança de conteúdo (CSP)

Se estiver usando a Política de segurança de conteúdo (CSP) na implementação do Adobe Target, você deve adicionar as seguintes diretivas da CSP ao usar at.js 2.1 ou posterior:

  • connect-src com o *.tt.omtrdc.net na lista de permissões. Necessário para permitir a solicitação de rede para a borda do Target.
  • style-src unsafe-inline. Necessário para controle de pré-ocultação e cintilação.
  • script-src unsafe-inline. Necessário para permitir a execução do JavaScript que pode fazer parte de uma oferta do HTML.

Perguntas frequentes

Consulte as seguintes perguntas frequentes sobre políticas de segurança:

O CORS (Cross Origin Resource Sharing) e as políticas entre domínios do Flash apresentam problemas de segurança?

A maneira recomendada de implementar a política do CORS é permitir acesso somente a origens confiáveis que exigem isso por meio de uma lista de permissões de domínios confiáveis. O mesmo pode ser dito para a política entre domínios do Flash. Algumas Adobe Target os clientes estão preocupados com o uso de caracteres curingas para domínios em Target. A preocupação é que, se um usuário estiver conectado a um aplicativo e visitar um domínio permitido pela política, qualquer conteúdo mal-intencionado em execução nesse domínio poderá recuperar conteúdo confidencial do aplicativo e realizar ações dentro do contexto de segurança do usuário conectado. Isso geralmente é chamado de CSRF (Cross-Site Request Forgery).

Em um Adobe Target no entanto, estas políticas não devem representar um problema de segurança.

"adobe.tt.omtrdc.net" é um domínio de propriedade do Adobe. Adobe Target é uma ferramenta de teste e personalização e espera-se que Target O pode receber e processar solicitações de qualquer lugar sem exigir autenticação. Essas solicitações contêm pares de chave/valor usados para testes A/B, recomendações ou personalização de conteúdo.

Adobe não armazena informações pessoais identificáveis (PII) ou outras informações confidenciais em Adobe Target servidores de borda, aos quais "adobe.tt.omtrdc.net" aponta.

Espera-se que Target pode ser acessada de qualquer domínio por meio de chamadas JavaScript. A única maneira de permitir esse acesso é aproveitando "Controle de acesso com permissão de origem" com um curinga.

Nesta página