Politiques de sécurité du contenu et service Experience Cloud Identity content-security-policies-and-the-experience-cloud-id-service
Une politique de sécurité de contenu (CSP) est une fonction d’en-tête et de sécurité HTTP qui permet aux navigateurs de contrôler le type de ressources chargées sur une page web. Consultez cette section si vous utilisez le service d’ID et que vous disposez de CSP strictes qui utilisent des listes autorisées pour accepter des ressources provenant de domaines approuvés. Vous devrez ajouter les domaines Adobe répertoriés ici à vos listes autorisées CSP.
Présentation des politiques de sécurité du contenu section-5fde5c00a678455c914b8307a8caab82
Les stratégies de sécurité du contenu utilisent l’en-tête HTTP Content-Security-Policy pour contrôler le type de ressources qu’un navigateur accepte ou charge sur une page. L’application d’un fichier CSP peut vous aider à empêcher :
- Les fichiers JavaScript de se charger si la source est inconnue ou n’est pas incluse dans une liste autorisée.
- Les attaques de type Cross-site scripting (XXS).
- Les attaques d’injection de données.
- Les attaques de défacement de site.
- La distribution de programmes malveillants.
L’utilisation des CSP est courante et bien comprise. La présente documentation n’a pas pour but d’expliquer en détail les CSP (voir les liens d’information connexes ci-dessous pour plus d’informations). Il est important de comprendre les noms de domaine Adobe que vous devez ajouter à un fichier CSP si vous les utilisez et si vous disposez de politiques de sécurité rigoureuses. L’ajout de ces domaines permet aux navigateurs visiteurs qui accèdent à votre site d’effectuer ces appels importants vers les ressources Experience Cloud que vous utilisez.
Domaines Experience Cloud en liste autorisée section-30693e9a96834edfbf04de9e698cf2aa
Ajoutez ces noms de domaine ou URL à votre fournisseur de services de messagerie instantanée pour chaque solution ou service Experience Cloud de liste que vous utilisez.
Modifiez votre CSP afin d’inclure les domaines ci-dessous :
- *.2o7.net
- *.omtrdc.net
Modifiez votre stratégie de sécurité du contenu afin d’inclure les domaines ci-dessous :
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - Si vous utilisez Adobe Launch pour déployer des balises, vous devez également ajouter
https://assets.adobedtm.comà la liste des domaines.
Les appels au domaine demdex.net sont utilisés pour générer les cookies et Experience Cloud ID_Service et pour les synchronisations d’ID. Voir également la section Comprendre les appels vers le domaine Demdex.
Si vous limitez les paramètres de chaîne de requête, placez les paramètres suivants sur liste autorisée :
s_kwcid(qui utilise!)ef_id(qui utilise:)
Si vous bloquez le caractère ! dans les URL, vous devez également le placer sur la liste autorisée.
Advertising Analytics utilise uniquement s_kwcid, mais Advertising Search, Social et Commerce et Advertising DSP utilisent également ef_id.
Modifiez votre CSP afin d’inclure les domaines suivants :
.everestjs.net.everesttech.net