內容安全性原則及 Experience Cloud 身分識別服務 content-security-policies-and-the-experience-cloud-id-service

內容安全性原則 (CSP) 是 HTTP 標題和安全性功能,可讓瀏覽器控制要在網頁上載入的資源類型。如果您使用ID服務,且具備使用允許清單接受來自受信任網域之資源的嚴格CSP,請檢閱此區段。 您需要將此處所列的Adobe網域新增至CSP允許清單。

CSP 檢視 section-5fde5c00a678455c914b8307a8caab82

CSP 會利用 HTTP 標頭 Content-Security-Policy 來控制瀏覽器要接受或在網頁中要載入的資源類型。套用 CSP 能協助您避免以下情形:

  • 如果來源不明或未包含在允許清單中,則不會載入JavaScript檔案。
  • 跨網站指令碼 (XXS) 攻擊。
  • 資料插入攻擊。
  • 網站損毀攻擊。
  • 惡意軟體散發。

CSP 的使用十分常見,且眾所周知。本文件的目的並非詳細說明 CSP (如需詳細資訊,請參閱下方連結中的相關資訊)。重要的是,您必須了解您在使用時應將何種 Adobe 網域名稱新增至 CSP,並擬定嚴格的安全性原則。新增這些網域,可讓存取您的網站的訪客瀏覽器能夠對您使用的 Experience Cloud 資源進行重要呼叫。

加入允許清單的Experience Cloud網域 section-30693e9a96834edfbf04de9e698cf2aa

針對您所使用的每個 Experience Cloud 解決方案或服務,請將下列網域名稱或 URL 新增至您的 CSP。

Experience Cloud 解決方案或服務
說明
AppMeasurement

修改您的 CSP 以包含以下項目:

  • *.2o7.net
  • *.omtrdc.net
Target
修改您的CSP以包含*.tt.omtrdc.net。
Experience Cloud ID服務與Audience Manager

修改 CSP 以納入以下網域。

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • 如果您是使用 Adobe Launch 部署標籤,也請將 https://assets.adobedtm.com 新增至網域清單。

對demdex.net網域發出的呼叫用於產生Cookie與Experience Cloud Identity服務及用於ID同步。 另請參閱瞭解向Demdex網域進行的呼叫

Activity Map外掛程式
修改您的 CSP 以包含 *.adobe.com。**注意**:如果您在 2020 年 1 日前即已安裝 Activity Map,您的瀏覽器仍會收到 *.omniture.com 的原始請求,但會將其重新導向 *.adobe.com。
Advertising Analytics

如果您限制查詢字串引數,則允許列出以下引數:

  • s_kwcid (使用!
  • ef_id (使用:

如果您在URL中封鎖!字元,則也將其列入允許清單。

Advertising Analytics僅使用s_kwcid,但Advertising Search、Social和Commerce以及Advertising DSP也使用ef_id

Adobe Advertising

修改您的CSP以包含以下網域:

  • .everestjs.net
  • .everesttech.net
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a