Politiques de sécurité du contenu et service d’identification des visiteurs Adobe content-security-policies-and-the-experience-cloud-id-service
Une politique de sécurité de contenu (CSP) est une fonction d’en-tête et de sécurité HTTP qui permet aux navigateurs de contrôler le type de ressources chargées sur une page web. Consultez cette section si vous utilisez le service d’identification des visiteurs et disposez de CSP stricts qui utilisent des places sur la liste autorisée pour accepter des ressources provenant de domaines de confiance. Vous devrez ajouter les domaines Adobe répertoriés ici à vos listes autorisées CSP.
Présentation des politiques de sécurité du contenu section-5fde5c00a678455c914b8307a8caab82
Les stratégies de sécurité du contenu utilisent l’en-tête HTTP Content-Security-Policy pour contrôler le type de ressources qu’un navigateur accepte ou charge sur une page. L’application d’un fichier CSP peut vous aider à empêcher :
- Les fichiers JavaScript de se charger si la source est inconnue ou n’est pas incluse dans une liste autorisée.
- Les attaques de type Cross-site scripting (XXS).
- Les attaques d’injection de données.
- Les attaques de défacement de site.
- La distribution de programmes malveillants.
L’utilisation des CSP est courante et bien comprise. La présente documentation n’a pas pour but d’expliquer en détail les CSP (voir les liens d’information connexes ci-dessous pour plus d’informations). Il est important de comprendre les noms de domaine Adobe que vous devez ajouter à un fichier CSP si vous les utilisez et si vous disposez de politiques de sécurité rigoureuses. L’ajout de ces domaines permet aux navigateurs visiteurs qui accèdent à votre site d’effectuer les appels importants vers les ressources d’entreprise CX que vous utilisez.
Domaines d’entreprise CX pour la Liste autorisée section-30693e9a96834edfbf04de9e698cf2aa
Ajoutez ces noms de domaine ou URL à votre CSP pour chaque liste de solutions ou de services CX Enterprise que vous utilisez.
Modifiez votre CSP afin d’inclure les domaines ci-dessous :
- *.2o7.net
- *.omtrdc.net
Modifiez votre stratégie de sécurité du contenu afin d’inclure les domaines ci-dessous :
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - Si vous utilisez des balises, vous devez également ajouter des
https://assets.adobedtm.comà la liste des domaines.
Les appels au domaine demdex.net sont utilisés pour générer les cookies et le service d’identification des visiteurs ainsi que pour la synchronisation des identifiants. Voir également la section Comprendre les appels vers le domaine Demdex.
Si vous limitez les paramètres de chaîne de requête, placez les paramètres suivants sur liste autorisée :
s_kwcid(qui utilise!)ef_id(qui utilise:)
Si vous bloquez le caractère ! dans les URL, vous devez également le placer sur la liste autorisée.
Advertising Analytics utilise uniquement s_kwcid, mais Advertising Search, Social et Commerce et Advertising DSP utilisent également ef_id.
Modifiez votre CSP afin d’inclure les domaines suivants :
.everestjs.net.everesttech.net