Directivas de la política de seguridad de contenido (CSP)
Si está usando la Política de seguridad de contenido (CSP) para su implementación de Adobe Target, debe agregar las siguientes directivas CSP al usar at.js 2.1 o posterior:
connect-srccon*.tt.omtrdc.netincluido en la lista de permitidos. Necesario para permitir la solicitud de red al perímetro de Target.style-src unsafe-inline. Necesaria para el control de parpadeo y preocultación.script-src unsafe-inline. Necesario para permitir la ejecución de JavaScript que pueda formar parte de una oferta de HTML.
Preguntas más frecuentes
Consulte las siguientes preguntas frecuentes sobre las políticas de seguridad:
¿Las políticas de Flash entre dominios y uso compartido de recursos de origen cruzado (CORS) presentan problemas de seguridad?
La forma recomendada de implementar la política CORS es permitir el acceso solo a orígenes de confianza que la requieran a través de una lista de dominios permitidos de confianza. Lo mismo puede decirse de la política entre dominios de Flash. A algunos clientes de Target les preocupa el uso de caracteres comodín para los dominios en Target. El problema es que si un usuario ha iniciado sesión en una aplicación y visita un dominio permitido por la directiva, cualquier contenido malicioso que se ejecute en ese dominio puede recuperar contenido confidencial de la aplicación y llevar a cabo acciones dentro del contexto de seguridad del usuario que ha iniciado sesión. Esta situación se conoce comúnmente como Falsificación de solicitudes entre sitios (CSRF).
Sin embargo, en una implementación de Target, estas directivas no deben representar un problema de seguridad.
“adobe.tt.omtrdc.net” es un dominio propiedad del Adobe. Adobe Target es una herramienta de prueba y personalización y se espera que Target pueda recibir y procesar solicitudes desde cualquier lugar sin requerir ninguna autenticación. Estas solicitudes contienen pares de clave/valor que se utilizan para pruebas A/B, recomendaciones o personalización de contenido.
El Adobe no almacena información de identificación personal (PII) u otra información confidencial en Adobe Target servidores Edge de a los que señala "adobe.tt.omtrdc.net".
Se espera que se pueda acceder a Target desde cualquier dominio a través de llamadas de JavaScript. La única manera de permitir este acceso es aplicando "Access-Control-Allow-Origin" con un comodín.
¿Cómo puedo permitir o evitar que mi sitio se incruste como un iFrame en dominios extranjeros?
Para permitir que Compositor de experiencias visuales (VEC) incruste el sitio web en un iFrame, se debe cambiar el CSP (si está configurado) en la configuración del servidor web. Los dominios de Adobe deben estar en la lista blanca y configurados.
Por motivos de seguridad, es posible que desee evitar que el sitio se incruste como un iFrame en dominios externos.
En las siguientes secciones se explica cómo permitir o evitar que el VEC incruste el sitio en un iFrame.
Permitir que el VEC incruste el sitio en un iFrame
La solución más sencilla para permitir que el VEC incruste su sitio web en un iFrame es permitir *.adobe.com, que es el comodín más amplio.
Por ejemplo:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com
Como en la siguiente ilustración (haga clic para ampliar):
Es posible que solo desee permitir el servicio real Adobe. Este escenario se puede lograr usando *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.
Por ejemplo:
Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com
Como en la siguiente ilustración (haga clic para ampliar):
El acceso más restrictivo a la cuenta de una compañía se puede lograr usando https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, donde <Client Code> representa su código de cliente específico.
Por ejemplo:
Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com
Como en la siguiente ilustración (haga clic para ampliar):
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;Evitar que el VEC incruste el sitio en un iFrame
Para evitar que el VEC incruste el sitio en un iFrame, puede restringirlo solo a "uno mismo".
Por ejemplo:
Content-Security-Policy: frame-ancestors 'self'
Como se muestra en la siguiente ilustración (haga clic para ampliarla):
Se muestra el siguiente mensaje de error:
Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".