Hier erfahren Sie, wie Sie die Zielgruppenverwaltung mithilfe einer Berechtigungsrichtlinie steuern oder eine .well-known-URL für Berechtigungen konfigurieren, um sie an einen Drittanbieter zu delegieren.
Der Ursprung des Aufrufkontexts für joinAdInterestGroup() muss mit dem Ursprung des Interessengruppeninhabers übereinstimmen. Daher muss joinAdInterestGroup() über einen iFrame (z. B. von einer DSP) aufgerufen werden, es sei denn, der Ursprung des Inhabers der Interessengruppe stimmt mit dem Ursprung des aktuellen Dokuments überein (z. B. eine Website mit eigenen Interessengruppen).
joinAdInterestGroup() benötigt eine Berechtigung von:
- Die besuchte Website
- Inhaber der Interessengruppe
Das bedeutet, dass malicious.example joinAdInterestGroup() für eine Interessengruppe, die zu dsp.example.com gehört, nicht aufrufen kann, ohne dass dsp.example.com die Berechtigung erteilt hat.
Berechtigung von der besuchten Website
Berechtigungen können vom selben Ursprung oder ursprungsübergreifend gewährt werden.
Standardmäßig wird die Berechtigung für joinAdInterestGroup()-Aufrufe erteilt, die vom selben Ursprung wie die besuchte Website stammen, d. h. vom selben Ursprung wie der Frame auf oberster Ebene der aktuellen Seite. Websites können den Header der join-ad-interest-group-Berechtigungsrichtlinie verwenden, um joinAdInterestGroup()-Aufrufe zu deaktivieren.
Der ursprungsübergreifende Aufruf von joinAdInterestGroup() (d. h. von der aktuellen Seite abweichende Ursprünge) kann nur erfolgreich sein, wenn für die besuchte Website eine Berechtigungsrichtlinie festgelegt wurde, die Aufrufe von joinAdInterestGroup() über ursprungsübergreifende iFrames zulässt.
Berechtigung vom Inhaber der Interessengruppe
Die Berechtigung als Inhaber einer Interessengruppe wird implizit gewährt, indem joinAdInterestGroup() über einen iFrame aufgerufen wird, der denselben Ursprung wie der Inhaber der Interessengruppe hat. Mit einem dsp.example.com-iFrame kann beispielsweise joinAdInterestGroup() für Interessengruppen von dsp.example.com aufgerufen werden.
Im Wesentlichen kann joinAdInterestGroup() auf einer Seite oder einem iFrame in der Domain des Inhabers ausgeführt oder an andere Domains delegiert werden, die mithilfe einer Liste unter einer .well-known-URL bereitgestellt werden.
Wenn in einem Frame, der zu einer Domain navigiert ist, joinAdInterestGroup(), leaveAdInterestGroup() oder clearOriginJoinedAdInterestGroups() für eine Interessengruppe mit einem anderen Inhaber aufgerufen wird, ruft der Browser die URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin ab. Dabei ist owner.domain die Domain, zu der die Interessengruppe gehört, und frame.origin der Ursprung des Frames. Beim Abruf wird der Modus "Auslassen" verwendet, wobei der Netzwerkpartitionsschlüssel des Frames verwendet wird, der die Methode aufgerufen hat. Damit ursprungsübergreifende Daten nicht unerwartet über das zurückgegebene Promise weitergegeben werden, wird beim Abrufen der Cors-Modus verwendet. Die abgerufene Antwort sollte einen JSON-MIME-Typ und folgendes Format haben:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Gibt an, ob der Ursprung im Pfad die Berechtigung hat, Interessengruppen beizutreten oder diese zu verlassen, die der Domain gehören, an die die Anfrage gesendet wird. Bei fehlenden Berechtigungen wird davon ausgegangen, dass sie „false“ sind. Da das Aufrufen von navigator.joinAdInterestGroup() mit einem lifetimeMs von 0 effektiv eine Interessengruppe verlässt, ermöglicht joinAdInterestGroup: true einem Ursprung auch, navigator.leaveAdInterestGroup() aufzurufen, selbst wenn leaveadInterestGroup fehlt oder auf „false“ gesetzt ist. Sowohl leaveAdInterestGroup() als auch clearOriginJoinedAdInterestGroups() müssen die Berechtigung leaveAdInterestGroup prüfen.