Diretivas da Política de segurança de conteúdo (CSP)

Se você estiver usando a Política de Segurança de Conteúdo (CSP) para a implementação do Adobe Target, deverá adicionar as seguintes diretivas da CSP ao usar o at.js 2.1 ou posterior:

Perguntas frequentes

Consulte as seguintes perguntas frequentes sobre políticas de segurança:

O CORS (Compartilhamento de recursos entre origens) e as políticas entre domínios do Flash apresentam problemas de segurança?

A maneira recomendada de implementar a política CORS é permitir o acesso apenas a origens confiáveis que o exijam por meio de uma lista de permissões de domínios confiáveis. O mesmo pode ser dito para a política entre domínios do Flash. Alguns clientes do Target estão preocupados com o uso de caracteres curingas para domínios no Target. A preocupação é que, se um usuário estiver conectado a um aplicativo e visitar um domínio permitido pela política, qualquer conteúdo mal-intencionado em execução nesse domínio poderá recuperar conteúdo confidencial do aplicativo e realizar ações dentro do contexto de segurança do usuário conectado. Essa situação é comumente chamada de CSRF (Falsificação de solicitação entre sites).

No entanto, em uma implementação Target, essas políticas não devem representar um problema de segurança.

“adobe.tt.omtrdc.net” é um domínio de propriedade da Adobe. O Adobe Target é uma ferramenta de teste e personalização e espera-se que o Target possa receber e processar solicitações de qualquer lugar sem exigir autenticação. Essas solicitações contêm pares de chave/valor usados para testes A/B, recomendações ou personalização de conteúdo.

O Adobe não armazena informações pessoais identificáveis (PII) ou outras informações confidenciais nos servidores de borda do Adobe Target, para os quais "adobe.tt.omtrdc.net" aponta.

Espera-se que o Target possa ser acessado de qualquer domínio por meio de chamadas JavaScript. A única maneira de permitir esse acesso é aplicando "Access-Control-Allow-Origin" com um curinga.

Como permitir ou impedir que meu site seja incorporado como um iFrame em domínios estrangeiros?

Para permitir que o Visual Experience Composer (VEC) incorpore seu site em um iFrame, o CSP (se definido) deve ser alterado na configuração do servidor Web. Adobe domínios devem estar na lista de permissões e configurados.

Por motivos de segurança, talvez você queira impedir que seu site seja incorporado como um iFrame em domínios estrangeiros.

As seções a seguir explicam como permitir ou impedir que o VEC incorpore seu site em um iFrame.

Permitir que o VEC incorpore o site em um iFrame

A solução mais fácil para habilitar o VEC para incorporar o site em um iFrame é permitir *.adobe.com, que é o curinga mais amplo.

Por exemplo:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Como na ilustração a seguir (clique para ampliar):

Talvez você queira permitir somente o serviço Adobe real. Este cenário pode ser alcançado usando *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Por exemplo:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Como na ilustração a seguir (clique para ampliar):

O acesso mais restritivo à conta de uma empresa pode ser obtido usando o https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, em que <Client Code> representa seu código de cliente específico.

Por exemplo:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Como na ilustração a seguir (clique para ampliar):

Impedir que o VEC incorpore seu site em um iFrame

Para impedir que o VEC incorpore seu site em um iFrame, é possível restringir somente a "self".

Por exemplo:

Content-Security-Policy: frame-ancestors 'self'

Como mostrado na ilustração a seguir (clique para ampliar):

A seguinte mensagem de erro é exibida:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".