CSP-direktiv (Content Security Policy)

Last update: Sat Jul 20 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Ämnen:

Skapat för:

Utvecklare

Om du använder Content Security Policy (CSP) för din Adobe Target -implementering bör du lägga till följande CSP-direktiv när du använder at.js 2.1 eller senare:

connect-src med *.tt.omtrdc.net tillåtslista. Nödvändig för att tillåta nätverksbegäran till kanten Target.
style-src unsafe-inline. Krävs för att dölja och flimra kontrollen.
script-src unsafe-inline. Krävs för att tillåta exekvering av JavaScript som kan vara en del av ett HTML-erbjudande.

Vanliga frågor och svar

Läs följande frågor och svar om säkerhetsprofiler:

Finns det säkerhetsproblem i korsdomänprinciper för korsdomänsdelning (CORS) och Flash?

Det rekommenderade sättet att implementera CORS-policyn är att tillåta åtkomst till endast betrodda ursprung som kräver det via en tillåtelselista med betrodda domäner. Samma sak gäller för Flashens korsdomänspolicy. Vissa Target-kunder är oroade över användningen av jokertecken för domäner i Target. Problemet är att om en användare är inloggad på ett program och besöker en domän som tillåts enligt principen, kan allt skadligt innehåll som körs på den domänen potentiellt hämta känsligt innehåll från programmet och utföra åtgärder i säkerhetskontexten för den inloggade användaren. Denna situation kallas ofta CSRF (Cross-Site Request Forgery).

I en Target-implementering bör dessa principer inte utgöra ett säkerhetsproblem.

"adobe.tt.omtrdc.net" är en domän som ägs av Adobe. Adobe Target är ett test- och personaliseringsverktyg och det förväntas att Target kan ta emot och bearbeta begäranden från var som helst utan att någon autentisering krävs. Dessa begäranden innehåller nyckel/värde-par som används för A/B-testning, rekommendationer eller innehållspersonalisering.

Adobe lagrar inte PII (Personally Identiitable Information) eller annan känslig information på Adobe Target-edge-servrar, som"adobe.tt.omtrdc.net" pekar på.

Target förväntas kunna nås från alla domäner via JavaScript-anrop. Det enda sättet att tillåta den här åtkomsten är genom att använda "Access-Control-Allow-Origin" med jokertecken.

Hur tillåter eller förhindrar jag att min webbplats bäddas in som en iFrame under utländska domäner?

Om du vill tillåta Visual Experience Composer (VEC) att bädda in din webbplats i en iFrame måste CSP (om den är inställd) ändras på webbserverinställningen. Adobe domäner måste vitlistas och konfigureras.

Av säkerhetsskäl kanske du vill förhindra att din plats bäddas in som iFrame under externa domäner.

I följande avsnitt beskrivs hur du tillåter eller förhindrar att VEC bäddar in din webbplats i en iFrame.

Tillåt att VEC bäddar in din webbplats i en iFrame

Den enklaste lösningen för att VEC ska kunna bädda in din webbplats i en iFrame är att tillåta *.adobe.com, som är det bredaste jokertecknet.

Exempel:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Som på följande bild (klicka för att förstora):

CSP med bredast jokertecken

Du kanske bara vill tillåta den faktiska Adobe-tjänsten. Detta scenario kan uppnås med hjälp av *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.

Exempel:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Som på följande bild (klicka för att förstora):

CSP med Experience Cloud-omfång

Den mest restriktiva åtkomsten till ett företags konto kan uppnås med hjälp av https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com, där <Client Code> representerar din specifika klientkod.

Exempel:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Som på följande bild (klicka för att förstora):

CSP med klientkodsomfång