内容安全策略 (CSP) 指令
如果您使用 内容安全策略 (CSP)适用于您的 Adobe Target 实施时,您应该添加以下CSP指令,以便 at.js 2.1或更高版本:
connect-src与*.tt.omtrdc.net已列入允许列表。要允许将网络请求发送到 Target 边缘时是必需的。style-src unsafe-inline。对于预隐藏和闪烁控制是必需的。script-src unsafe-inline。需要此项以允许可能作为 HTML 选件一部分的 JavaScript 执行。
常见问题解答 (FAQs)
有关安全策略,请参阅以下常见问题解答:
跨源资源共享 (CORS) 和 Flash 跨域策略是否存在安全问题?
实施 CORS 策略的推荐方法是,只允许通过受信任域的允许列表访问需要它的受信任来源。Flash 跨域策略亦是如此。 部分 Target 客户担心在Target中的域使用通配符。 问题在于,如果用户登录到应用程序,并访问策略允许的域,则该域上运行的任何恶意内容都可能从应用程序中检索敏感内容,并在登录用户的安全上下文中执行操作。 这种情况通常称为跨站点请求伪造(CSRF)。
在 Target 但是,实施这些策略不应代表安全问题。
"adobe.tt.omtrdc.net" 是 Adobe 拥有的域。 Adobe Target 是一种测试和个性化工具,预计 Target 可以接收和处理来自任何地方的请求,而无需任何身份验证。 这些请求包含用于 A/B 测试、建议或内容个性化的键/值对。
Adobe不会将个人身份信息(PII)或其他敏感信息存储在 Adobe Target “adobe.tt.omtrdc.net”指向的边缘服务器。
可以通过 JavaScript 调用从任何域访问 Target。 允许此访问的唯一方法是应用带有通配符的“Access-Control-Allow-Origin”。
如何允许或阻止我的站点被嵌入为外部域下的iFrame?
要允许 可视化体验编辑器 (VEC)要将您的网站嵌入到iFrame中,必须在您的Web服务器设置上更改CSP(如果已设置)。 Adobe 域必须列入白名单并进行配置。
出于安全原因,您可能希望阻止将站点作为iFrame嵌入到外部域下。
以下部分将说明如何允许或阻止VEC将您的网站嵌入到iFrame中。
允许VEC将您的网站嵌入到iFrame中
要使VEC能够将您的网站嵌入到iFrame中,最简单的解决方案是允许 *.adobe.com,这是最广泛的通配符。
例如:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com
如下图所示(单击放大):
您可能希望仅允许实际 Adobe 服务。 此方案可以使用实现 *.experiencecloud.adobe.com + https://experiencecloud.adobe.com.
例如:
Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com
如下图所示(单击放大):
使用对公司帐户的访问限制最严格 https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com,其中 <Client Code> 表示您的特定客户端代码。
例如:
Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com
如下图所示(单击放大):
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;阻止VEC将您的网站嵌入到iFrame中
要阻止VEC将您的网站嵌入到iFrame中,您可以仅将其限制为“自身”。
例如:
Content-Security-Policy: frame-ancestors 'self'
如下图所示(单击以放大):
将显示以下错误消息:
Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".