Direttive Content Security Policy (CSP)

Se utilizzi Content Security Policy (CSP) per l'implementazione di Adobe Target, aggiungi le seguenti direttive CSP quando utilizzi at.js 2.1 o versione successiva:

  • connect-src con *.tt.omtrdc.net inserito nell’elenco Consentiti. Necessario per consentire la richiesta di rete all’edge Target.
  • style-src unsafe-inline. Necessario per il controllo di pre-hiding e sfarfallio.
  • script-src unsafe-inline. Necessario per consentire l’esecuzione di JavaScript che potrebbe far parte di un’offerta HTML.

Domande frequenti

Domande frequenti sui criteri di sicurezza:

I criteri di condivisione delle risorse tra diverse origini (Cross Origin Resource Sharing, CORS) e i criteri Flash tra più domini presentano problemi di sicurezza?

L’implementazione consigliata del criterio CORS consiste nel consentire l’accesso solo alle origini affidabili che lo richiedono, inserendo i domini affidabili in un elenco Consentiti. Lo stesso vale per il criterio Flash tra domini diversi. Alcuni clienti di Target hanno dubbi in merito all'utilizzo di caratteri jolly nei domini in Target. Il problema è che, se un utente ha effettuato l’accesso a un’applicazione e visita un dominio consentito dal criterio, eventuali contenuti dannosi in esecuzione su tale dominio possono potenzialmente recuperare contenuti sensibili dall’applicazione ed eseguire azioni all’interno del contesto di sicurezza dell’utente connesso. Questa situazione viene comunemente definita CSRF (Cross-Site Request Forgery).

In un'implementazione di Target, tuttavia, questi criteri non devono rappresentare un problema di sicurezza.

“adobe.tt.omtrdc.net” è un dominio di proprietà di Adobe. Adobe Target è uno strumento di test e personalizzazione. In quanto tale, è previsto che Target possa ricevere ed elaborare richieste provenienti da ovunque senza richiedere alcuna autenticazione. Tali richieste contengono coppie di chiave/valore utilizzate per test A/B, consigli o personalizzazione dei contenuti.

Adobe non memorizza dati personali (PII, Personally Identifiable Information) né altri dati sensibili sui server perimetrali Adobe Target a cui fa riferimento "adobe.tt.omtrdc.net".

È previsto che Target possa essere accessibile da qualsiasi dominio tramite chiamate JavaScript. L’unico modo per consentire questo accesso consiste nell’applicare "Access-Control-Allow-Origin" con un carattere jolly.

Come posso consentire o impedire che il mio sito venga incorporato come iFrame in domini esterni?

Per consentire al Compositore esperienza visivo (VEC) di incorporare il sito Web in un iFrame, è necessario modificare la CSP (se impostata) nell'impostazione del server Web. Adobe domini devono essere inseriti nella whitelist e configurati.

Per motivi di sicurezza, potresti voler impedire che il tuo sito venga incorporato come iFrame in domini esterni.

Nelle sezioni seguenti viene illustrato come consentire o impedire al Compositore esperienza visivo di incorporare il sito in un iFrame.

Consentire al Compositore esperienza visivo di incorporare il sito in un iFrame

La soluzione più semplice per consentire al Compositore esperienza visivo di incorporare il sito web in un iFrame è quella di consentire *.adobe.com, che è il carattere jolly più ampio.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con carattere jolly più ampio

È possibile consentire solo il servizio Adobe effettivo. Questo scenario può essere ottenuto utilizzando *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con ambito Experience Cloud

L'accesso più restrittivo all'account di un'azienda può essere ottenuto utilizzando https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, dove <Client Code> rappresenta il codice client specifico.

Ad esempio:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Come nell’illustrazione seguente (fai clic per ingrandire):

CSP con ambito clientcode

NOTE
Se hai implementato Launch/Tag, anche questo deve essere sbloccato.
Ad esempio:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Impedire al Compositore esperienza visivo di incorporare il sito in un iFrame

Per evitare che il Compositore esperienza visivo incorpori il sito in un iFrame, puoi limitare l’opzione solo a "self" (self).

Ad esempio:

Content-Security-Policy: frame-ancestors 'self'

Come mostrato nella figura seguente (fare clic per ingrandire):

Errore CSP

Viene visualizzato il seguente messaggio di errore:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3