ドキュメントTarget 開発者ガイド

コンテンツセキュリティポリシー(CSP)指令

Last update: Thu Jul 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象:

  • Developer

を使用している場合、 コンテンツセキュリティポリシー (CSP) を Adobe Target 実装する場合、を使用する際に次の CSP ディレクティブを追加する必要があります at.js 2.1 以降:

  • connect-src*.tt.omtrdc.net 許可リスト。Target エッジへのネットワークリクエストを許可するために必要です。
  • style-src unsafe-inlineをインストールします。事前非表示およびちらつき制御に必要です。
  • script-src unsafe-inlineをインストールします。HTML オファーの一部となる JavaScript の実行を許可するために必要です。

よくある質問(FAQ)

セキュリティポリシーに関する以下の FAQ を参照してください。

クロスオリジンリソース共有(CORS)と Flash クロスドメインポリシーには、セキュリティの問題がありますか?

CORS ポリシーを実装する推奨方法は、信頼済みのドメインの許可リストを介して、アクセスを必要とする信頼されたオリジンだけにアクセスを許可することです。Flash クロスドメインポリシーについても同じことがいえます。一部 Target のお客様は、Target でのドメインに対するワイルドカード文字の使用を気にかけています。 ユーザーがアプリケーションにログインし、ポリシーで許可されたドメインにアクセスすると、そのドメインで実行する悪意のあるコンテンツは、潜在的にアプリケーションから機密コンテンツを取得し、ログインユーザーのセキュリティコンテキスト内でアクションを実行します。 この状況は、一般に、クロスサイトリクエストフォージェリ (CSRF) と呼ばれます。

内 Target ただし、これらのポリシーはセキュリティ上の問題を表すものではありません。

「adobe.tt.omtrdc.net」は、アドビが所有するドメインです。Adobe Target は、テストとパーソナライゼーションのツールです。Target は、認証を必要とせずに、どこからでもリクエストを受け取り、処理できることが期待されます。これらのリクエストには、A/B テスト、レコメンデーション、コンテンツのパーソナライゼーションに使用されるキーと値のペアが含まれています。

Adobeは、個人を特定できる情報 (PII) や、 Adobe Target エッジサーバー。「adobe.tt.omtrdc.net」が指し示します。

これにより、JavaScript 呼び出しを使用してどのドメインからでも Target にアクセスできることが期待されます。このアクセスを許可する唯一の方法は、ワイルドカードを使用して「Access-Control-Allow-Origin」を適用することです。

サイトが外部ドメインの iFrame として埋め込まれるのを許可または防ぐ方法を教えてください。

次を許可するには、 Visual Experience Composer (VEC)Web サイトを iFrame に埋め込むには、Web サーバーの設定で CSP(設定されている場合)を変更する必要があります。 Adobe ドメインは、ホワイトリストに登録され、設定されている必要があります。

セキュリティ上の理由から、サイトが外部ドメインの iFrame として埋め込まれるのを防ぐ必要がある場合があります。

次の節では、VEC が iFrame にサイトを埋め込むことを許可または禁止する方法について説明します。

VEC がサイトを iFrame に埋め込むのを許可する

VEC で Web サイトを iFrame に埋め込む最も簡単な方法は、次のとおりです。 *.adobe.com:最も広いワイルドカードです。

次に例を示します。

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

次の図に示すように(クリックして拡大) :

最も広いワイルドカードを持つ CSP {width="600" modal="regular"}

実際の Adobe サービス。 このシナリオは、 *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

次に例を示します。

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

次の図に示すように(クリックして拡大) :

ExperienceCloud 範囲を持つ CSP {width="600" modal="regular"}

会社のアカウントへの最も制限が厳しいアクセスは、 https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.comです。 <Client Code> は、特定のクライアントコードを表します。

次に例を示します。

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

次の図に示すように(クリックして拡大) :

clientcode スコープを持つ CSP {width="600" modal="regular"}

NOTE
次の条件を満たしている場合: 起動/タグ 実装済みの場合は、ロックを解除する必要があります。
次に例を示します。
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

VEC が iFrame にサイトを埋め込まないようにする

VEC が iFrame にサイトを埋め込まないようにするには、「自己」のみに制限します。

次に例を示します。

Content-Security-Policy: frame-ancestors 'self'

次の図に示すように(クリックして拡大)、

CSP エラー {width="600" modal="regular"}

次のエラーメッセージが表示されます。

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3