Comment puis-je autoriser ou empêcher mon site d’être incorporé en tant qu’iFrame sous des domaines étrangers ?

Pour permettre au compositeur d’expérience visuelle (VEC) d’incorporer votre site web dans un iFrame, la CSP (si elle est définie) doit être modifiée dans le paramètre de votre serveur web. Les domaines Adobe doivent être mis en liste blanche et configurés.

Pour des raisons de sécurité, vous pouvez empêcher votre site d’être incorporé en tant qu’iFrame sous des domaines étrangers.

Les sections suivantes expliquent comment autoriser ou empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame.

Autorisation du VEC à incorporer votre site dans un iFrame

La solution la plus simple pour permettre au VEC d’incorporer votre site web dans un iFrame est d’autoriser *.adobe.com, qui est le caractère générique le plus large.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec le caractère générique le plus large

Vous pouvez uniquement autoriser le service Adobe réel. Ce scénario peut être réalisé en utilisant *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec application de portée Experience Cloud

L’accès le plus restrictif au compte d’une entreprise peut être obtenu en utilisant https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, où <Client Code> représente votre code client spécifique.

Par exemple :

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Comme dans l’illustration suivante (cliquez pour agrandir) :

CSP avec clientcode scoped

NOTE
Si Launch/Tag est implémenté, il doit également être déverrouillé.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Empêcher le VEC d’incorporer votre site dans un iFrame

Pour empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame, vous pouvez restreindre à "vous" uniquement.

Par exemple :

Content-Security-Policy: frame-ancestors 'self'

Comme illustré ci-dessous (cliquez pour agrandir) :

Erreur CSP

Le message d'erreur suivant s'affiche :

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

Page précédenteITP (Intelligent Tracking Prevention) 2.x d’Apple
Page suivanteAjout des nœuds Edge de Target sur liste autorisée

Target