Políticas de segurança de conteúdo e o serviço de identidade da Experience Cloud content-security-policies-and-the-experience-cloud-id-service

Uma Política de Segurança de Conteúdo (CSP) é um cabeçalho HTTP e um recurso de segurança que fornece aos navegadores controle sobre que tipo de recursos são carregados em uma página da Web. Incluir na lista de permissões Revise esta seção se você usar o serviço de ID e tiver CSPs rigorosas que usam para aceitar recursos de domínios confiáveis. Será necessário adicionar os domínios do Adobe listados aqui às suas listas de permissões CSP.

Análise da CSP section-5fde5c00a678455c914b8307a8caab82

As CSPs usam o cabeçalho HTTP Content-Security-Policy para controlar o tipo de recursos que os navegadores aceitam ou carregam em uma página. A aplicação de um CSP pode ajudá-lo a evitar:

  • o carregamento de arquivos JavaScript incluir na lista de permissões se a origem for desconhecida ou não estiver incluída em um arquivo de pesquisa.
  • Ataques de script entre sites (XXS).
  • Ataques de injeção de dados.
  • Ataques de deformação do site.
  • Distribuição de malware.

A utilização de documentos de estratégia por país é comum e bem compreendida. Não é objetivo desta documentação explicar em detalhes os documentos de estratégia por país (para mais informações, consulte os links de informação relacionadas abaixo). É importante saber quais nomes de domínio da Adobe você deve adicionar a uma CSP se você os utilizar e tiver políticas de segurança restritas. A adição desses domínios permite que os navegadores de visitantes que acessam seu site façam essas chamadas importantes para os recursos da Experience Cloud que você usa.

Domínios Experience Cloud para Incluir na lista de permissões section-30693e9a96834edfbf04de9e698cf2aa

Adicione esses nomes de domínio ou URLs à CSP para cada solução ou serviço da lista da Experience Cloud que você usa.

Solução ou serviço da Experience Cloud
Descrição
AppMeasurement

Modifique sua CSP para incluir o seguinte:

  • *.2o7.net
  • *.omtrdc.net
Target
Modifique sua CSP para incluir *.tt.omtrdc.net.
Serviço da Experience Cloud ID e Audience Manager

Modifique sua CSP para incluir os domínios abaixo.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Se você usar o Adobe Launch para implantar tags, também precisará adicionar https://assets.adobedtm.com à lista de domínios.

As chamadas para o domínio demdex.net são usadas para gerar os Cookies e o Serviço de Identidade da Experience Cloud e para sincronizações de ID. Consulte também Compreender as chamadas para o domínio Demdex.

Plug-in do Activity Map
Modifique sua CSP para incluir *.adobe.com. **Nota**: Se você já tiver o Activity Map instalado antes de janeiro de 2020, seu navegador ainda verá uma solicitação inicial para *.omniture.com, mas será redirecionado para *.adobe.com.
Advertising Analytics

Se você restringir os parâmetros da cadeia de caracteres de consulta, incluirá na lista de permissões os seguintes parâmetros:

  • s_kwcid (que usa !)
  • ef_id (que usa :)

Se você bloquear o caractere ! em URLs, também o incluirá na lista de permissões.

O Advertising Analytics usa somente s_kwcid, mas o Advertising Search, Social, & Commerce e Advertising DSP também usam ef_id.

Adobe Advertising

Modifique sua CSP para incluir os seguintes domínios:

  • .everestjs.net
  • .everesttech.net
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a