컨텐츠 보안 정책 및 Experience Cloud Identity 서비스 content-security-policies-and-the-experience-cloud-id-service
CSP(Content Security Policy)는 브라우저가 웹 페이지에 로드되는 리소스 유형을 제어하는 HTTP 헤더 및 보안 기능입니다. ID 서비스를 사용하고 신뢰할 수 있는 도메인의 리소스를 수락하기 위해 허용 목록을 사용하는 엄격한 CSP가 있는 경우 이 섹션을 검토하십시오. 여기에 나열된 Adobe 도메인을 CSP 허용 목록에 추가해야 합니다.
CSP 검토 section-5fde5c00a678455c914b8307a8caab82
CSP는 HTTP 헤더 Content-Security-Policy를 사용하여 브라우저에서 페이지에 허용하거나 로드하는 리소스 유형을 제어합니다. CSP를 적용하면 다음을 방지할 수 있습니다.
- 소스를 알 수 없거나 허용 목록에 포함되지 않은 경우 JavaScript 파일이 로드됨.
- XXS(교차 사이트 스크립팅) 공격.
- 데이터 주입 공격.
- 사이트 디페이스먼트 공격.
- 악성 코드 배포.
CSP의 사용은 일반적이고 이해하기 쉽습니다. CSP를 자세히 설명하는 것은 이 설명서의 목적이 아닙니다(자세한 내용은 아래 관련 정보 링크 참조). 중요한 것은 CSP를 사용하고 보안 정책이 강력한 경우 CSP에 어떤 Adobe 도메인 이름을 추가해야 하는지를 이해하는 것입니다. 이러한 도메인을 추가하면 사이트에 액세스하는 방문자 브라우저에서 사용하는 Experience Cloud 리소스에 대한 중요한 호출을 수행할 수 있습니다.
화이트리스트에 작성할 Experience Cloud 도메인 section-30693e9a96834edfbf04de9e698cf2aa
사용하는 각 목록 Experience Cloud 솔루션 또는 서비스에 이러한 도메인 이름 또는 URL을 CSP에 추가합니다.
다음을 포함하도록 CSP를 수정합니다.
- *.2o7.net
- *.omtrdc.net
아래 도메인을 포함하도록 CSP를 수정합니다.
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - Adobe Launch를 사용하여 태그를 배포하는 경우 도메인 목록에
https://assets.adobedtm.com도 추가해야 합니다.
demdex.net 도메인 호출은 쿠키 및 Experience Cloud ID 서비스를 생성하고 ID를 동기화하는 데 사용됩니다. Demdex 도메인에 대한 호출 이해도 참조하십시오.