Direttive Content Security Policy (CSP)
Se utilizzi Content Security Policy (CSP) per l'implementazione di Adobe Target, aggiungi le seguenti direttive CSP quando utilizzi at.js 2.1 o versione successiva:
connect-srccon*.tt.omtrdc.netinserito nell’elenco Consentiti. Necessario per consentire la richiesta di rete all’edge Target.style-src unsafe-inline. Necessario per il controllo di pre-hiding e sfarfallio.script-src unsafe-inline. Necessario per consentire l’esecuzione di JavaScript che potrebbe far parte di un’offerta HTML.
Domande frequenti
Domande frequenti sui criteri di sicurezza:
I criteri di condivisione delle risorse tra diverse origini (Cross Origin Resource Sharing, CORS) e i criteri Flash tra più domini presentano problemi di sicurezza?
L’implementazione consigliata del criterio CORS consiste nel consentire l’accesso solo alle origini affidabili che lo richiedono, inserendo i domini affidabili in un elenco Consentiti. Lo stesso vale per il criterio Flash tra domini diversi. Alcuni clienti di Target hanno dubbi in merito all'utilizzo di caratteri jolly nei domini in Target. Il problema è che, se un utente ha effettuato l’accesso a un’applicazione e visita un dominio consentito dal criterio, eventuali contenuti dannosi in esecuzione su tale dominio possono potenzialmente recuperare contenuti sensibili dall’applicazione ed eseguire azioni all’interno del contesto di sicurezza dell’utente connesso. Questa situazione viene comunemente definita CSRF (Cross-Site Request Forgery).
In un'implementazione di Target, tuttavia, questi criteri non devono rappresentare un problema di sicurezza.
“adobe.tt.omtrdc.net” è un dominio di proprietà di Adobe. Adobe Target è uno strumento di test e personalizzazione. In quanto tale, è previsto che Target possa ricevere ed elaborare richieste provenienti da ovunque senza richiedere alcuna autenticazione. Tali richieste contengono coppie di chiave/valore utilizzate per test A/B, consigli o personalizzazione dei contenuti.
Adobe non memorizza dati personali (PII, Personally Identifiable Information) né altri dati sensibili sui server perimetrali Adobe Target a cui fa riferimento "adobe.tt.omtrdc.net".
È previsto che Target possa essere accessibile da qualsiasi dominio tramite chiamate JavaScript. L’unico modo per consentire questo accesso consiste nell’applicare "Access-Control-Allow-Origin" con un carattere jolly.
Come posso consentire o impedire che il mio sito venga incorporato come iFrame in domini esterni?
Per consentire al Compositore esperienza visivo (VEC) di incorporare il sito Web in un iFrame, è necessario modificare la CSP (se impostata) nell'impostazione del server Web. Adobe domini devono essere inseriti nella whitelist e configurati.
Per motivi di sicurezza, potresti voler impedire che il tuo sito venga incorporato come iFrame in domini esterni.
Nelle sezioni seguenti viene illustrato come consentire o impedire al Compositore esperienza visivo di incorporare il sito in un iFrame.
Consentire al Compositore esperienza visivo di incorporare il sito in un iFrame
La soluzione più semplice per consentire al Compositore esperienza visivo di incorporare il sito web in un iFrame è quella di consentire *.adobe.com, che è il carattere jolly più ampio.
Ad esempio:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com
Come nell’illustrazione seguente (fai clic per ingrandire):
È possibile consentire solo il servizio Adobe effettivo. Questo scenario può essere ottenuto utilizzando *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.
Ad esempio:
Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com
Come nell’illustrazione seguente (fai clic per ingrandire):
L'accesso più restrittivo all'account di un'azienda può essere ottenuto utilizzando https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, dove <Client Code> rappresenta il codice client specifico.
Ad esempio:
Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com
Come nell’illustrazione seguente (fai clic per ingrandire):
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;Impedire al Compositore esperienza visivo di incorporare il sito in un iFrame
Per evitare che il Compositore esperienza visivo incorpori il sito in un iFrame, puoi limitare l’opzione solo a "self" (self).
Ad esempio:
Content-Security-Policy: frame-ancestors 'self'
Come mostrato nella figura seguente (fare clic per ingrandire):
Viene visualizzato il seguente messaggio di errore:
Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".