CSP-direktiv (Content Security Policy)

Om du använder Skyddsprincip för innehåll (CSP) för Adobe Target implementering bör du lägga till följande CSP-direktiv när du använder at.js 2.1 eller senare:

Vanliga frågor och svar

Läs följande frågor och svar om säkerhetsprofiler:

Finns det säkerhetsproblem i korsdomänsprinciper som korsdomänsdelning (CORS) och Flash?

Det rekommenderade sättet att implementera CORS-policyn är att tillåta åtkomst till endast betrodda ursprung som kräver det via en tillåtelselista med betrodda domäner. Samma sak kan sägas om Flash Cross Domain Policy. Några Target kunderna oroar sig över användningen av jokertecken för domäner i Target. Problemet är att om en användare är inloggad på ett program och besöker en domän som tillåts enligt principen, kan allt skadligt innehåll som körs på den domänen potentiellt hämta känsligt innehåll från programmet och utföra åtgärder i säkerhetskontexten för den inloggade användaren. Denna situation kallas ofta CSRF (Cross-Site Request Forgery).

I en Target implementeringen bör dock inte utgöra ett säkerhetsproblem.

"adobe.tt.omtrdc.net" är en domän som ägs av Adobe. Adobe Target är ett verktyg för testning och personalisering och man förväntar sig att Target kan ta emot och behandla förfrågningar var som helst utan att någon autentisering krävs. Dessa begäranden innehåller nyckel/värde-par som används för A/B-testning, rekommendationer eller innehållspersonalisering.

Adobe lagrar inte PII (Personally Identiitable Information) eller annan känslig information om Adobe Target edge-servrar som"adobe.tt.omtrdc.net" pekar på.

Det förväntas att Target kan nås från alla domäner via JavaScript-anrop. Det enda sättet att tillåta den här åtkomsten är genom att använda "Access-Control-Allow-Origin" med jokertecken.

Hur tillåter eller förhindrar jag att min webbplats bäddas in som en iFrame under utländska domäner?

Om du vill tillåta Visual Experience Composer (VEC) Om du vill bädda in webbplatsen i en iFrame måste CSP (om den är inställd) ändras på webbserverinställningen. Adobe domäner måste vitlistas och konfigureras.

Av säkerhetsskäl kanske du vill förhindra att din plats bäddas in som iFrame under externa domäner.

I följande avsnitt beskrivs hur du tillåter eller förhindrar att VEC bäddar in din webbplats i en iFrame.

Tillåt att VEC bäddar in din webbplats i en iFrame

Den enklaste lösningen för VEC att bädda in din webbplats i en iFrame är att tillåta *.adobe.com, som är det bredaste jokertecknet.

Exempel:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Som på följande bild (klicka för att förstora):

{width="600" modal="regular"}

Du kanske bara vill tillåta de faktiska Adobe service. Detta scenario kan uppnås genom att använda *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Exempel:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Som på följande bild (klicka för att förstora):

{width="600" modal="regular"}

Den mest restriktiva åtkomsten till ett företags konto kan uppnås genom att använda https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, där <Client Code> representerar din specifika klientkod.

Exempel:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Som på följande bild (klicka för att förstora):

{width="600" modal="regular"}

Hindra VEC från att bädda in webbplatsen i en iFrame

Om du inte vill att VEC ska kunna bädda in din webbplats i en iFrame kan du begränsa till enbart"self".

Exempel:

Content-Security-Policy: frame-ancestors 'self'

Som på följande bild (klicka för att förstora):

{width="600" modal="regular"}

Följande felmeddelande visas:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".