ดูวิธีควบคุมการจัดการกลุ่มเป้าหมายโดยใช้นโยบายสิทธิ์หรือมอบสิทธิ์ให้บุคคลที่สามโดยการกำหนดค่า URL สิทธิ์ .well-known
ต้นทางของบริบทการโทรสำหรับ joinAdInterestGroup()
ต้องตรงกับต้นทางของเจ้าของกลุ่มความสนใจ จึงต้องเรียกใช้ joinAdInterestGroup()
จาก iframe (เช่น จาก DSP) เว้นแต่ต้นทางของเจ้าของกลุ่มความสนใจตรงกับต้นทางของเอกสารปัจจุบัน (เช่น เว็บไซต์ที่มีกลุ่มความสนใจของตนเอง)
joinAdInterestGroup()
ต้องได้รับสิทธิ์จาก:
- เว็บไซต์ที่เข้าชม
- เจ้าของกลุ่มความสนใจ
ซึ่งหมายความว่า malicious.example
จะโทรหา joinAdInterestGroup()
ของกลุ่มความสนใจที่ dsp.example.com
เป็นเจ้าของไม่ได้โดยที่ dsp.example.com
ไม่ได้ให้สิทธิ์
สิทธิ์จากเว็บไซต์ที่เข้าชม
คุณให้สิทธิ์จากต้นทางเดียวกันหรือข้ามต้นทางได้
โดยค่าเริ่มต้น ระบบจะให้สิทธิ์แก่การเรียก joinAdInterestGroup()
จากต้นทางเดียวกันกับเว็บไซต์ที่เข้าชม (กล่าวคือ มาจากต้นทางเดียวกับเฟรมระดับบนสุดของหน้าปัจจุบัน) เว็บไซต์สามารถใช้ส่วนหัวนโยบายด้านสิทธิ์ของ join-ad-interest-group
เพื่อปิดใช้การเรียก joinAdInterestGroup()
การเรียกใช้ joinAdInterestGroup()
แบบข้ามต้นทาง (ต้นทางที่ต่างจากหน้าปัจจุบัน) จะสำเร็จได้ก็ต่อเมื่อเว็บไซต์ที่เข้าชมได้ตั้งค่านโยบายสิทธิ์ที่อนุญาตให้เรียกใช้ joinAdInterestGroup()
จาก iframe แบบข้ามต้นทางได้
สิทธิ์จากเจ้าของกลุ่มความสนใจ
คุณให้สิทธิ์เจ้าของกลุ่มความสนใจโดยปริยายโดยการเรียก joinAdInterestGroup()
จาก iframe ที่มีต้นทางเดียวกันกับของเจ้าของกลุ่มความสนใจ ตัวอย่างเช่น iframe ของ dsp.example.com
จะเรียกใช้ joinAdInterestGroup()
สำหรับกลุ่มความสนใจที่ dsp.example.com
เป็นเจ้าของได้
กล่าวคือ joinAdInterestGroup()
สามารถเรียกใช้ในหน้าเว็บหรือ iframe ในโดเมนของเจ้าของ หรือมอบสิทธิ์ไปยังโดเมนอื่นที่ระบุโดยใช้ลิสต์ใน URL ของ .well-known
เมื่อเฟรมที่ไปยังโดเมนหนึ่งเรียกใช้ joinAdInterestGroup()
, leaveAdInterestGroup()
หรือ clearOriginJoinedAdInterestGroups()
สำหรับกลุ่มความสนใจที่มีเจ้าของรายอื่น เบราว์เซอร์จะดึงข้อมูล URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin
โดยที่ owner.domain
คือโดเมนที่เป็นเจ้าของกลุ่มความสนใจ และ frame.origin
เป็นต้นทางของเฟรม การดึงข้อมูลใช้โหมดยกเว้นข้อมูลเข้าสู่ระบบ โดยใช้คีย์พาร์ติชันเครือข่ายของเฟรมที่เรียกใช้เมธอด การดึงข้อมูลจะใช้โหมด Cors เพื่อหลีกเลี่ยงการรั่วไหลของข้อมูลข้ามต้นทางผ่าน Promise ที่ส่งคืนโดยไม่คาดคิด การตอบกลับที่ดึงข้อมูลควรมีประเภท MIME ในรูปแบบ JSON และมีรูปแบบดังนี้
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
ระบุว่าต้นทางในเส้นทางมีสิทธิ์เข้าร่วมหรือออกจากกลุ่มความสนใจซึ่งเป็นของโดเมนที่ส่งคำขอไปหรือไม่ สิทธิ์ที่ขาดหายไปจะถือว่าเป็นข้อมูลเท็จ เนื่องจากการเรียกใช้ navigator.joinAdInterestGroup()
ที่มี lifetimeMs
เป็น 0 เป็นการออกจากกลุ่มความสนใจอย่างมีประสิทธิภาพ joinAdInterestGroup: true
จะทำให้ต้นทางเรียกใช้ navigator.leaveAdInterestGroup()
ได้ด้วย แม้ว่า leaveadInterestGroup
ขาดหายไปหรือตั้งค่าเป็น "เท็จ" ก็ตาม โปรดทราบว่าทั้ง leaveAdInterestGroup()
และ clearOriginJoinedAdInterestGroups()
จะตรวจสอบสิทธิ์ leaveAdInterestGroup