内容安全策略和 Experience Cloud Identity 服务
最近更新: 2024年7月17日
创建对象:
- 开发人员
- 用户
- 管理员
- 领导
内容安全策略 (CSP) 是一种 HTTP 标头和安全功能,该功能使浏览器能够控制在网页上加载的资源类型。如果您使用 ID 服务并具有严格的 CSP(使用白名单接受来自受信任域的资源),请查看此部分内容。您需要将此处列出的 Adobe 域添加到您的 CSP 白名单中。
CSP审查
CSP 使用 HTTP 标头 Content-Security-Policy 来控制浏览器在页面上接受或加载的资源类型。应用 CSP 可帮助阻止以下情况:
- 当源未知或未包含在白名单中时,阻止加载 JavaScript 文件。
- 跨站点脚本 (XXS) 攻击。
- 数据注入攻击。
- 网站篡改攻击。
- 恶意软件分发。
CSP 得到了广泛使用和认可。本文档并非旨在详细介绍 CSP(有关更多信息,请访问下面提供的相关信息链接)。让您了解在使用严格 CSP 策略时应该将哪些 Adobe 域名添加到 CSP 白名单中才是本文档的重点。添加这些域后,访问您网站的访客浏览器便可以对您使用的 Experience Cloud 资源进行重要调用。
要添加到白名单的Experience Cloud域
对于您使用的每个 Experience Cloud 解决方案或服务,将这些域名或 URL 添加到您的 CSP 白名单中。
| Experience Cloud 解决方案或服务 | 描述 |
|---|---|
| AppMeasurement |
修改您的 CSP 白名单以包含以下域:
|
| Target | 修改您的 CSP 以包含 *.tt.omtrdc.net。 |
| Experience Cloud ID 服务和 Audience Manager |
修改您的 CSP 以包含以下域。
demdex.net 域调用可用于生成 Cookie 和 Experience Cloud Identity 服务及 ID 同步。另请参阅了解 Demdex 域调用。 |
| Activity Map 插件 | 修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 月之前已经安装 Activity Map,您的浏览器仍会看到对 *.omniture.com 的初始请求,但会被重定向到 *.adobe.com。 |
| Advertising Analytics | 如果您对查询字符串参数应用了控制,请务必将参数“s_kwcid”和“ef_id”列入白名单。从技术上讲,Advertising Analytics 仅使用“s_kwcid”,但如果您选取 Ad Cloud Search 或 DSP,则它也使用“ef_id”。这些查询字符串参数采用的是字母数字。“s_kwcid”参数使用“!”字符,“ef_id”参数使用“:”字符。如果您在 URL 中阻止“!”字符,则还需要将该字符列入白名单。 |
Related Articles
Experience Cloud Services
- 身份标识服务帮助
- 概述
- 实施
- ID 服务 API
- ID 服务 API 概述
- 配置
- 配置概述
- audienceManagerServer 和 audienceManagerServerSecure
- cookieDomain
- cookieLifetime
- disableIdSyncs
- disableThirdPartyCalls
- disableThirdPartyCookies
- idSyncAttachIframeOnWindowLoad
- idSyncContainerID
- idSyncSSLUseAkamai
- loadTimeout
- overwriteCrossDomainMCIDAndAID
- resetBeforeVersion
- sdidParamExpiry
- Secure 和 SameSite 配置
- secureCookie
- useCORSOnly
- whitelistParentDomain 和 whitelistIframeDomains
- 方法
- 参考
- 常见问题解答
- ID 服务的发行说明