DocumentazioneGuida per gli sviluppatori di Target

Direttive Content Security Policy (CSP)

Last update: Thu Jul 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Developer

Se utilizzi il Informativa sulla sicurezza dei contenuti (CSP) per Adobe Target implementazione, aggiungi le seguenti direttive CSP quando utilizzi at.js 2.1 o versione successiva:

  • connect-src con *.tt.omtrdc.net inserito nell’elenco Consentiti. Necessario per consentire la richiesta di rete all’edge Target.
  • style-src unsafe-inline. Necessario per il controllo di pre-hiding e sfarfallio.
  • script-src unsafe-inline. Necessario per consentire l’esecuzione di JavaScript che potrebbe far parte di un’offerta HTML.

Domande frequenti

Domande frequenti sui criteri di sicurezza:

I criteri di condivisione delle risorse tra diverse origini (Cross Origin Resource Sharing, CORS) e i criteri Flash tra più domini presentano problemi di sicurezza?

L’implementazione consigliata del criterio CORS consiste nel consentire l’accesso solo alle origini affidabili che lo richiedono, inserendo i domini affidabili in un elenco Consentiti. Lo stesso vale per il criterio Flash tra domini diversi. Alcuni Target I clienti hanno dubbi in merito all’utilizzo di caratteri jolly nei domini in Target. Il problema è che, se un utente ha effettuato l’accesso a un’applicazione e visita un dominio consentito dal criterio, eventuali contenuti dannosi in esecuzione su tale dominio possono potenzialmente recuperare contenuti sensibili dall’applicazione ed eseguire azioni all’interno del contesto di sicurezza dell’utente connesso. Questa situazione viene comunemente definita CSRF (Cross-Site Request Forgery).

In un Target Tuttavia, tali criteri non dovrebbero rappresentare un problema di sicurezza.

“adobe.tt.omtrdc.net” è un dominio di proprietà di Adobe. Adobe Target è uno strumento di test e personalizzazione. In quanto tale, è previsto che Target possa ricevere ed elaborare richieste provenienti da ovunque senza richiedere alcuna autenticazione. Tali richieste contengono coppie di chiave/valore utilizzate per test A/B, consigli o personalizzazione dei contenuti.

L’Adobe non memorizza dati personali (PII, Personally Identifiable Information) né altri dati sensibili su Adobe Target server perimetrali, a cui punta "adobe.tt.omtrdc.net".

È previsto che Target possa essere accessibile da qualsiasi dominio tramite chiamate JavaScript. L’unico modo per consentire questo accesso consiste nell’applicare "Access-Control-Allow-Origin" con un carattere jolly.

Come posso consentire o impedire che il mio sito venga incorporato come iFrame in domini esterni?

Per consentire il Compositore esperienza visivo (VEC) per incorporare il sito web in un iFrame, la CSP (se impostata) deve essere modificata nell’impostazione del server web. Adobe I domini devono essere inseriti nella whitelist e configurati.

Per motivi di sicurezza, potresti voler impedire che il tuo sito venga incorporato come iFrame in domini esterni.

Nelle sezioni seguenti viene illustrato come consentire o impedire al Compositore esperienza visivo di incorporare il sito in un iFrame.

Consentire al Compositore esperienza visivo di incorporare il sito in un iFrame

La soluzione più semplice per consentire al Compositore esperienza visivo di incorporare il sito web in un iFrame è quella di consentire *.adobe.com, che è il carattere jolly più ampio.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con caratteri jolly più ampi {width="600" modal="regular"}

È possibile consentire solo l'effettivo Adobe servizio. Questo scenario può essere ottenuto utilizzando *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con ambito Experience Cloud {width="600" modal="regular"}

L’accesso più restrittivo all’account di un’azienda può essere ottenuto utilizzando https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, dove <Client Code> rappresenta il codice client specifico.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con ambito clientcode {width="600" modal="regular"}

NOTE
Se è stato Avvia/Assegna tag implementato, deve essere sbloccato.
Ad esempio:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Impedire al Compositore esperienza visivo di incorporare il sito in un iFrame

Per evitare che il Compositore esperienza visivo incorpori il sito in un iFrame, puoi limitare l’opzione solo a "self" (self).

Ad esempio:

Content-Security-Policy: frame-ancestors 'self'

Come mostrato nella figura seguente (fare clic per ingrandire):

Errore CSP {width="600" modal="regular"}

Viene visualizzato il seguente messaggio di errore:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3