內容安全性原則及 Experience Cloud 身分識別服務 content-security-policies-and-the-experience-cloud-id-service
內容安全性原則 (CSP) 是 HTTP 標題和安全性功能,可讓瀏覽器控制要在網頁上載入的資源類型。如果您使用ID服務,且具備使用允許清單接受來自受信任網域之資源的嚴格CSP,請檢閱此區段。 您需要將此處所列的Adobe網域新增至CSP允許清單。
CSP 檢視 section-5fde5c00a678455c914b8307a8caab82
CSP 會利用 HTTP 標頭 Content-Security-Policy 來控制瀏覽器要接受或在網頁中要載入的資源類型。套用 CSP 能協助您避免以下情形:
- 如果來源不明或未包含在允許清單中,則不會載入JavaScript檔案。
- 跨網站指令碼 (XXS) 攻擊。
- 資料插入攻擊。
- 網站損毀攻擊。
- 惡意軟體散發。
CSP 的使用十分常見,且眾所周知。本文件的目的並非詳細說明 CSP (如需詳細資訊,請參閱下方連結中的相關資訊)。重要的是,您必須了解您在使用時應將何種 Adobe 網域名稱新增至 CSP,並擬定嚴格的安全性原則。新增這些網域,可讓存取您的網站的訪客瀏覽器能夠對您使用的 Experience Cloud 資源進行重要呼叫。
加入允許清單的Experience Cloud網域 section-30693e9a96834edfbf04de9e698cf2aa
針對您所使用的每個 Experience Cloud 解決方案或服務,請將下列網域名稱或 URL 新增至您的 CSP。
Experience Cloud 解決方案或服務
說明
AppMeasurement
修改您的 CSP 以包含以下項目:
- *.2o7.net
- *.omtrdc.net
Target
修改您的CSP以包含*.tt.omtrdc.net。
Experience Cloud ID服務與Audience Manager
修改 CSP 以納入以下網域。
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - 如果您是使用 Adobe Launch 部署標籤,也請將
https://assets.adobedtm.com新增至網域清單。
對demdex.net網域發出的呼叫用於產生Cookie與Experience Cloud Identity服務及用於ID同步。 另請參閱瞭解向Demdex網域進行的呼叫。
Activity Map外掛程式
修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 日前即已安裝 Activity Map,您的瀏覽器仍會收到 *.omniture.com 的原始請求,但會將其重新導向 *.adobe.com。
Advertising Analytics
如果您限制查詢字串引數,則允許列出以下引數:
s_kwcid(使用!)ef_id(使用:)
如果您在URL中封鎖!字元,則也將其列入允許清單。
Advertising Analytics僅使用s_kwcid,但Advertising Search、Social和Commerce以及Advertising DSP也使用ef_id。
Adobe Advertising
修改您的CSP以包含以下網域:
.everestjs.net.everesttech.net
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a