Scopri come controllare la gestione dei segmenti di pubblico utilizzando un criterio di autorizzazioni o delegarlo a una terza parte configurando un URL di autorizzazioni .well-known.
L'origine del contesto di chiamata per joinAdInterestGroup() deve corrispondere a quella del proprietario del gruppo di interesse, quindi joinAdInterestGroup() dovrà essere chiamato da un iframe (ad esempio da una piattaforma DSP) a meno che l'origine del proprietario del gruppo di interesse non corrisponda a quella del documento corrente (ad esempio, un sito web con i propri gruppi di interesse).
joinAdInterestGroup() richiede l'autorizzazione di:
- Il sito visitato
- Il proprietario del gruppo basato sugli interessi
Ciò significa che malicious.example non può chiamare joinAdInterestGroup() per un gruppo di interesse di proprietà di dsp.example.com senza che dsp.example.com abbia concesso l'autorizzazione.
Autorizzazione dal sito visitato
L'autorizzazione può essere concessa dalla stessa origine o multiorigine.
Per impostazione predefinita, l'autorizzazione viene concessa per le chiamate joinAdInterestGroup() provenienti dalla stessa origine del sito visitato, ovvero dalla stessa origine del frame di primo livello della pagina corrente. I siti possono utilizzare l'intestazione dei criteri relativi alle autorizzazioni join-ad-interest-group per disattivare le chiamate joinAdInterestGroup().
La chiamata a joinAdInterestGroup() multiorigine (origini diverse dalla pagina corrente) può avere esito positivo solo se il sito visitato ha impostato un criterio di autorizzazione che consente le chiamate a joinAdInterestGroup() da iframe multiorigine.
Autorizzazione del proprietario del gruppo di interesse
L'autorizzazione del proprietario del gruppo di interesse viene implicitamente concessa chiamando joinAdInterestGroup() da un iframe con la stessa origine del proprietario del gruppo di interesse. Ad esempio, un iframe dsp.example.com può chiamare joinAdInterestGroup() per i gruppi di interesse di proprietà di dsp.example.com.
In sostanza, joinAdInterestGroup() può essere eseguito in una pagina o in un iframe sul dominio del proprietario oppure può essere delegato ad altri domini forniti utilizzando un elenco a un URL .well-known.
Quando un frame passa a un dominio chiama joinAdInterestGroup(), leaveAdInterestGroup() o clearOriginJoinedAdInterestGroups() per un gruppo di interesse con un proprietario diverso, il browser recupera l'URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, dove owner.domain è il dominio proprietario del gruppo di interesse e frame.origin è l'origine del frame. Il recupero utilizza la modalità di omissione delle credenziali, mediante la chiave di partizione di rete del frame che ha richiamato il metodo. Per evitare la perdita inaspettata di dati multiorigine tramite la Promise restituita, il recupero utilizza la modalità cors. La risposta recuperata deve avere un tipo MIME JSON ed essere nel formato:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indica se l'origine del percorso dispone delle autorizzazioni per unirsi o uscire dai gruppi di interesse di proprietà del dominio a cui viene inviata la richiesta. Le autorizzazioni mancanti sono considerate false. Poiché la chiamata di navigator.joinAdInterestGroup() con lifetimeMs pari a 0 di fatto lascia un gruppo di interesse, joinAdInterestGroup: true consente anche a un'origine di chiamare navigator.leaveAdInterestGroup(), anche se leaveadInterestGroup non è presente o è impostato su false. Tieni presente che sia leaveAdInterestGroup() che clearOriginJoinedAdInterestGroups() controllano l'autorizzazione leaveAdInterestGroup.