内容安全策略和 Experience Cloud 身份标识服务 content-security-policies-and-the-experience-cloud-id-service
内容安全策略 (CSP) 是一种 HTTP 标头和安全功能,该功能使浏览器能够控制在网页上加载的资源类型。列入允许列表如果您使用ID服务并具有严格的CSP(使用接受来自受信任域的资源),请查看此部分。 您需要将此处列出的Adobe域添加到您的CSP允许列表。
CSP审查 section-5fde5c00a678455c914b8307a8caab82
CSP 使用 HTTP 标头 Content-Security-Policy 来控制浏览器在页面上接受或加载的资源类型。应用 CSP 可帮助阻止以下情况:
- 当源未知或未包含在JavaScript中时,阻止加载列入允许列表文件。
- 跨站点脚本 (XXS) 攻击。
- 数据注入攻击。
- 网站篡改攻击。
- 恶意软件分发。
CSP 得到了广泛使用和认可。本文档并非旨在详细介绍 CSP(有关更多信息,请访问下面提供的相关信息链接)。让您了解在使用严格 CSP 策略时应该将哪些 Adobe 域名添加到 CSP 白名单中才是本文档的重点。添加这些域后,访问您网站的访客浏览器便可以对您使用的 Experience Cloud 资源进行重要调用。
用于Experience Cloud的列入允许列表域 section-30693e9a96834edfbf04de9e698cf2aa
对于您使用的每个 Experience Cloud 解决方案或服务,将这些域名或 URL 添加到您的 CSP 白名单中。
Experience Cloud 解决方案或服务
描述
AppMeasurement
修改您的 CSP 白名单以包含以下域:
- *.2o7.net
- *.omtrdc.net
目标
修改您的CSP以包含*.tt.omtrdc.net。
Experience Cloud ID服务和Audience Manager
修改您的 CSP 以包含以下域。
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - 如果您使用 Adobe Launch 来部署标记,则还必须将
https://assets.adobedtm.com添加到域列表。
对demdex.net域的调用用于生成Cookie和Experience Cloud Identity服务并用于ID同步。 另请参阅了解Demdex域调用。
Activity Map插件
修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 月之前已经安装 Activity Map,您的浏览器仍会看到对 *.omniture.com 的初始请求,但会被重定向到 *.adobe.com。
Advertising Analytics
如果限制查询字符串参数,则允许列表以下参数:
s_kwcid(使用!)ef_id(使用:)
如果阻止URL中的!字符,则也要列入允许列表该字符。
Advertising Analytics仅使用s_kwcid,但Advertising Search、Social和Commerce以及Advertising DSP也使用ef_id。
Adobe Advertising
修改您的CSP以包含以下域:
.everestjs.net.everesttech.net
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a