DocumentatieDoelontwikkelaarsgids

Inhoudsbeveiligingsbeleid (CSP)-instructies

Laatst bijgewerkt: 19 mei 2026

Gemaakt voor:

  • Developer

Als u het ​ Beleid van de Veiligheid van de Inhoud ​ (CSP) voor uw Adobe Target implementatie gebruikt, zou u de volgende CSP richtlijnen moeten toevoegen wanneer het gebruiken van ​ at.js 2.1 of later ​:

  • connect-src met *.tt.omtrdc.net gevoegd op lijst van gewenste personen. Noodzakelijk om de netwerkaanvraag toe te staan aan de Target edge.
  • style-src unsafe-inline. Vereist voor het voorbeverbergen en flikkeren van de besturing.
  • script-src unsafe-inline. Vereist om uitvoering door JavaScript toe te staan die deel kan uitmaken van een HTML-aanbieding.

Veelgestelde vragen

Raadpleeg de volgende veelgestelde vragen over beveiligingsbeleid:

Zijn er beveiligingsproblemen met betrekking tot het delen van bronnen tussen verschillende bronnen (CORS) en het Flash-beleid voor meerdere domeinen?

De geadviseerde manier om het beleid van CORS uit te voeren is toegang tot slechts vertrouwde op oorsprong toe te staan die het via een lijst van gewenste personen van vertrouwde op domeinen vereisen. Hetzelfde kan worden gezegd van het interdomeinbeleid van Flash. Sommige klanten van Target zijn bezorgd over het gebruik van vervangingskarakters voor domeinen in Doel. De zorg is dat als een gebruiker aan een toepassing het programma wordt geopend, en een domein bezoekt dat door het beleid wordt toegestaan, om het even welke kwaadwillige inhoud die op dat domein loopt gevoelige inhoud van de toepassing kan terugwinnen en acties binnen de veiligheidscontext van de het programma geopende gebruiker uitvoeren. Deze situatie wordt algemeen bedoeld als Cross-Site Request vervalsing (CSRF).

In een Target -implementatie is dit beleid echter geen beveiligingsprobleem.

“adobe.tt.omtrdc.net” is een domein dat eigendom is van Adobe. Adobe Target is een test- en personalisatieprogramma en er wordt verwacht dat Target overal aanvragen kan ontvangen en verwerken zonder dat hiervoor verificatie vereist is. Deze verzoeken bevatten sleutel/waardeparen die voor het testen A/B, aanbevelingen, of inhoudspartnerij worden gebruikt.

Adobe slaat PII-gegevens (Personal Identified Information) of andere gevoelige gegevens niet op Edge-servers van Adobe Target op, waarnaar “adobe.tt.omtrdc.net” verwijst.

Target kan naar verwachting vanuit elk domein worden benaderd via JavaScript-aanroepen. De enige manier om deze toegang toe te staan is door "toegang-controle-toe:staan-Oorsprong"met een vervanging toe te passen.

Hoe kan ik toestaan of voorkomen dat mijn site wordt ingesloten als een iFrame onder externe domeinen?

Om ​ Visuele Composer van de Ervaring ​ (VEC) toe te staan om uw website in een iFrame in te bedden, moet CSP (als reeks) op uw Webserver het plaatsen worden veranderd. Adobe -domeinen moeten worden gewhitelist en geconfigureerd.

Om veiligheidsredenen is het wellicht verstandig om te voorkomen dat uw site wordt ingesloten als een iFrame onder externe domeinen.

In de volgende secties wordt uitgelegd hoe u het insluiten van uw site in een iFrame door de VEC toestaat of voorkomt.

VEC toestaan uw site in te sluiten in een iFrame

De gemakkelijkste oplossing om VEC in te schakelen om uw website in een iFrame in te sluiten is *.adobe.com toe te staan, wat het breedste jokerteken is.

Bijvoorbeeld:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Zoals in de volgende afbeelding (klik om te vergroten):

​ CSP met breedste vervanging ​ {width="600" modal="regular"}

Mogelijk wilt u alleen de werkelijke Adobe -service toestaan. Dit scenario kan worden bereikt door *.experiencecloud.adobe.com + https://experiencecloud.adobe.com te gebruiken.

Bijvoorbeeld:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Zoals in de volgende afbeelding (klik om te vergroten):

​ CSP met ExperienceCloud scoped ​ {width="600" modal="regular"}

De meest beperkende toegang tot de account van een bedrijf kan worden bereikt door https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com te gebruiken, waarbij <Client Code> uw specifieke clientcode vertegenwoordigt.

Bijvoorbeeld:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Zoals in de volgende afbeelding (klik om te vergroten):

​ CSP met clientcode scoped ​ {width="600" modal="regular"}

NOTE
Als u ​ Lanceer/markering ​ uitgevoerd hebt, moet het ook worden ontgrendeld.
Bijvoorbeeld:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Voorkomen dat de VEC uw site insluit in een iFrame

Als u wilt voorkomen dat de VEC uw site insluit in een iFrame, kunt u zich beperken tot alleen “zelf”.

Bijvoorbeeld:

Content-Security-Policy: frame-ancestors 'self'

Zoals getoond in de volgende afbeelding (klik om te vergroten):

​ CSP fout ​ {width="600" modal="regular"}

Het volgende foutbericht wordt weergegeven:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
target-dev-help-dev