Documentation

Application de l’intégrité des sous-ressources et restriction de l’accès direct aux scripts RUM d’Adobe

Last update: Mon Apr 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Le script RUM (Real User Monitoring) d’Adobe dans AEM as a Cloud Service expose les détails de l’environnement interne et reste directement accessible à partir du domaine de l’éditeur, même après l’activation d’une configuration de domaine externe. Cela crée des problèmes de sécurité et de contrôle d’accès et soulève des questions sur l’application de l’intégrité des sous-ressources (SRI) sans affecter les fonctionnalités RUM. Pour corriger ce problème, diffusez le script RUM à partir d’un domaine externe, mettez à jour les paramètres de la politique de sécurité du contenu, appliquez éventuellement la SRI et bloquez l’accès direct au script sur le domaine de l’éditeur tout en conservant la collecte de télémétrie intacte.

Description description

Environnement

  • Produit : Adobe Experience Manager as a Cloud Service - Sites
  • Contraintes : Managed Services, Environnement de production

Problème/Symptômes

  • Le script Adobe RUM est injecté dans les pages publiées avec un attribut data-routing qui expose les détails de l’environnement interne.
  • Après avoir activé la configuration de domaine externe, le script se charge à partir d’une origine externe, mais reste directement accessible via le domaine de l’éditeur.
  • Il est nécessaire d’appliquer la SRI pour une sécurité supplémentaire et de bloquer l’accès direct au script à partir du domaine de l’éditeur.
  • L’exposition aux informations et l’impact de ces modifications sur la fonctionnalité RUM soulèvent des inquiétudes.

Résolution resolution

Pour résoudre ce problème, procédez comme suit :

  1. Activez la configuration Domaine externe de sorte que le script RUM d’Adobe se charge à partir d’une origine externe au lieu du domaine de l’éditeur.
  2. Mettez à jour l’en-tête Politique de sécurité du contenu (CSP) pour autoriser le chargement de script à partir du domaine externe utilisé par RUM.
  3. Appliquez les attributs Subresource Integrity (SRI) au script RUM chargé en externe si une validation d’intégrité supplémentaire est requise.
  4. Configurez les règles de filtrage du trafic CDN pour refuser les requêtes directes au chemin d’accès du script RUM sur le domaine de l’éditeur, tel que /.rum/*.
  5. Vérifiez que le script RUM se charge correctement depuis le domaine externe, que l’accès direct au script sur le domaine de l’éditeur est bloqué et que les fonctionnalités du site et la collecte de données se poursuivent sans interruption.

Remarques

  • L’intégrité des sous-ressources (SRI) offre une valeur limitée lorsque les scripts sont diffusés à partir de la même origine. Il est particulièrement efficace pour valider les scripts chargés à partir d’origines externes.
  • Le blocage de l’accès direct au script RUM au niveau du CDN ou du Dispatcher n’affecte pas la fonctionnalité RUM lorsque le script se charge exclusivement à partir d’un domaine externe autorisé.
  • Les valeurs d’identifiant de programme et d’identifiant d’environnement exposées dans les attributs de data-routing ne posent pas de risque de sécurité, car ces identifiants n’accordent pas l’accès aux environnements ou aux données AEM.

Lecture connexe

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f