DocumentationGuide du développeur de Target

Directives relatives aux politiques de sécurité du contenu (CSP)

Dernière mise à jour : 19 mai 2026

Créé pour :

  • {"id":"ff6a42d2-313e-452e-93a6-792e4fad9ff8"}

Si vous utilisez la ​ politique de sécurité du contenu ​ (CSP) pour votre mise en œuvre Adobe Target, vous devez ajouter les directives CSP suivantes lors de l’utilisation d’at.js 2.1 ou version ultérieure ​ :

  • connect-src avec *.tt.omtrdc.net placé sur la liste autorisée. Nécessaire pour autoriser la requête réseau à Target edge.
  • style-src unsafe-inline. Obligatoire pour le prémasquage et le contrôle du scintillement.
  • script-src unsafe-inline. Obligatoire pour autoriser l’exécution de JavaScript qui peut faire partie d’une offre HTML.

Questions fréquentes

Consultez les questions fréquentes suivantes au sujet des politiques de sécurité :

Les politiques CORS (Cross Origin Resource Sharing) et les politiques Flash Cross-domain présentent-elles des problèmes de sécurité ?

La méthode recommandée pour mettre en œuvre la politique CORS consiste à autoriser l’accès aux seules origines approuvées qui le nécessitent via une liste autorisée de domaines approuvés. Il en va de même pour la politique Flash Cross-domain. Certains clients Target s’inquiètent de l’utilisation de caractères génériques pour les domaines dans Target. Si un utilisateur est connecté à une application et qu’il visite un domaine autorisé par la politique, tout contenu malveillant exécuté sur ce domaine peut potentiellement récupérer du contenu sensible dans l’application et effectuer des actions dans le contexte de sécurité de l’utilisateur connecté. Cette situation est généralement appelée attaque CSRF (Cross-site request forgery).

Dans une implémentation Target, cependant, ces politiques ne doivent pas représenter un problème de sécurité.

« adobe.tt.omtrdc.net » est un domaine détenu par Adobe. Adobe Target est un outil de test et de personnalisation. Il est prévu que Target puisse recevoir et traiter des requêtes provenant de n’importe où sans nécessiter d’authentification. Ces requêtes contiennent des paires clé/valeur utilisées pour les tests A/B, les recommandations ou la personnalisation du contenu.

Adobe ne stocke pas les informations d’identification personnelle (PII) ni d’autres informations sensibles sur les serveurs Edge de Adobe Target, vers lesquels pointe « adobe.tt.omtrdc.net ».

Il est prévu que Target soit accessible depuis n’importe quel domaine via des appels JavaScript. La seule façon d’autoriser cet accès consiste à appliquer « Access-Control-Allow-Origin » avec un caractère générique.

Comment puis-je autoriser ou empêcher l’incorporation de mon site en tant qu’iFrame sous des domaines étrangers ?

Pour permettre au compositeur d’expérience visuelle (VEC) d’incorporer votre site web dans un iFrame, la CSP (si elle est définie) doit être modifiée dans les paramètres de votre serveur web. Les domaines Adobe doivent être whitelistés et configurés.

Pour des raisons de sécurité, vous souhaiterez peut-être empêcher l’incorporation de votre site en tant qu’iFrame sous des domaines étrangers.

Les sections suivantes expliquent comment autoriser ou empêcher le VEC d’incorporer votre site dans un iFrame.

Autoriser le compositeur d’expérience visuelle à incorporer votre site dans un iFrame

La solution la plus simple pour permettre au compositeur d’expérience visuelle d’incorporer votre site web dans un iFrame consiste à autoriser *.adobe.com, qui est le caractère générique le plus large.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec le caractère générique le plus large {width="600" modal="regular"}

Vous souhaiterez peut-être autoriser uniquement le service Adobe réel. Ce scénario peut être réalisé à l’aide de *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec étendue ExperienceCloud {width="600" modal="regular"}

L’accès le plus restrictif au compte d’une entreprise peut être obtenu en utilisant https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, où <Client Code> représente votre code client spécifique.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec code client défini {width="600" modal="regular"}

NOTE
Si vous avez implémenté Launch/Tag, il doit également être déverrouillé.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame

Pour empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame, vous pouvez vous limiter à « self » uniquement.

Par exemple :

Content-Security-Policy: frame-ancestors 'self'

Comme illustré ci-dessous (cliquez pour agrandir) :

Erreur CSP {width="600" modal="regular"}

Le message d’erreur suivant s’affiche :

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
target-dev-help-dev