Políticas de seguridad del contenido y el servicio de Experience Cloud ID content-security-policies-and-the-experience-cloud-id-service

Una directiva de seguridad de contenido (CSP) es una función de seguridad y encabezado HTTP que proporciona a los navegadores el control sobre el tipo de recursos que se cargan en una página web. Revise esta sección si utiliza el servicio de ID y tiene CSP estrictos que utilizan listas blancas para aceptar recursos de dominios de confianza. Deberá agregar los dominios de Adobe enumerados aquí a las listas blancas de CSP.

Revisión de la CSP section-5fde5c00a678455c914b8307a8caab82

Las CSP utilizan el encabezado HTTP Content-Security-Policy para controlar el tipo de recursos que acepta o carga un navegador en una página. La aplicación de un CSP puede ayudarle a evitar:

  • Que se carguen los archivos JavaScript si el origen es desconocido o no se incluye en una lista blanca.
  • Ataques de ejecución de scripts en sitios múltiples (XXS).
  • Ataques de inyección de datos.
  • Ataques de modificación de sitios web.
  • Distribución de malware.

El uso de los CSP es habitual y conocido. Esta documentación no tiene por objeto explicar en detalle los CSP (para obtener más información, consulte los vínculos de relacionados). Lo importante es que entienda qué nombres de dominio de Adobe debe agregar a un CSP si los utiliza y tiene políticas de seguridad estrictas. Añadir estos dominios permite a los navegadores de visitante que acceden a su sitio realizar las llamadas importantes a los recursos de Experience Cloud que utilice.

Dominios de Experience Cloud para listas de elementos permitidos section-30693e9a96834edfbf04de9e698cf2aa

Añada estos nombres de dominio o direcciones URL a su CSP para cada solución o servicio de Experience Cloud que utilice.

Solución o servicio de Experience Cloud
Descripción
AppMeasurement

Modifique su CSP para incluir lo siguiente:

  • *.2o7.net
  • *.omtrdc.net
Target
Modifique su CSP para incluir *.tt.omtrdc.net.
Servicio de Experience Cloud ID y Audience Manager

Modifique su CSP para incluir los siguientes dominios.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Si utiliza Adobe Launch para implementar etiquetas, también deberá agregar https://assets.adobedtm.com a la lista de dominios.

Las llamadas al dominio demdex.net se utilizan para generar las cookies y el servicio de Experience Cloud ID y para sincronizar ID. Consulte también Explicación de las llamadas al dominio Demdex.

Complemento Activity Map
Modifique su CSP para incluir *.adobe.com. **Nota**: Si ya tenía Activity Map instalado antes de enero de 2020, el explorador seguirá viendo una solicitud inicial a *.omniture.com, pero se redirigirá a *.adobe.com.
Advertising Analytics
Si tiene controles en los parámetros de cadena de consulta, asegúrese de incluir en la lista blanca los parámetros “s_kwcid” y “ef_id”. Técnicamente, Advertising Analytics solo utiliza “s_kwcid”, pero si elige Ad Cloud Search o DSP, también utilizará “ef_id”. Estos parámetros de cadena de consulta son alfanuméricos. El parámetro “s_kwcid” utiliza el parámetro “!” y el parámetro “ef_id” utiliza el carácter “:”. Si está bloqueando el “!” en la dirección URL, también debe incluirlo en la lista de admitidos.
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a