Découvrez comment contrôler la gestion de l'audience à l'aide d'une règle d'autorisation ou déléguer cette gestion à un tiers en configurant une URL d'autorisation .well-known.
L'origine du contexte d'appel pour joinAdInterestGroup() doit correspondre à l'origine du propriétaire du groupe d'intérêt. Par conséquent, joinAdInterestGroup() devra être appelé à partir d'un iFrame (par exemple, à partir d'une DSP), sauf si l'origine du propriétaire du groupe d'intérêt correspond à l'origine du document actuel (par exemple, un site Web avec ses propres groupes d'intérêt).
joinAdInterestGroup() nécessite l'autorisation de :
- Le site visité
- Propriétaire du groupe d'intérêt
Cela signifie qu'il n'est pas possible pour malicious.example d'appeler joinAdInterestGroup() pour un groupe d'intérêt appartenant à dsp.example.com, sans que dsp.example.com n'accorde l'autorisation.
Autorisation du site consulté
L'autorisation peut être accordée à partir de la même origine ou d'une origine croisée.
Par défaut, l'autorisation est accordée pour les appels joinAdInterestGroup() provenant de la même origine que le site visité (en d'autres termes, de la même origine que le frame de premier niveau de la page actuelle). Les sites peuvent utiliser l'en-tête de règle d'autorisation join-ad-interest-group pour désactiver les appels joinAdInterestGroup().
L'appel de joinAdInterestGroup() multi-origine (origines différentes de la page actuelle) ne peut aboutir que si le site visité a défini une règle d'autorisation qui autorise les appels à joinAdInterestGroup() depuis des iFrames multi-origines.
Autorisation du propriétaire du groupe d'intérêt
L'autorisation du propriétaire du groupe d'intérêt est accordée de manière implicite en appelant joinAdInterestGroup() à partir d'un iFrame ayant la même origine que celle du propriétaire du groupe d'intérêt. Par exemple, un iFrame dsp.example.com peut appeler joinAdInterestGroup() pour les groupes d'intérêt appartenant à dsp.example.com.
En substance, joinAdInterestGroup() peut s'exécuter dans une page ou un iFrame sur le domaine du propriétaire, ou être délégué à d'autres domaines fournis à l'aide d'une liste à une URL .well-known.
Lorsqu'un frame ayant accédé à un domaine appelle joinAdInterestGroup(), leaveAdInterestGroup() ou clearOriginJoinedAdInterestGroups() pour un groupe d'intérêt avec un propriétaire différent, le navigateur récupère l'URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, où owner.domain est le domaine propriétaire du groupe d'intérêt et frame.origin est l'origine du frame. La récupération utilise le mode "omit credentials" (omettre les identifiants), en utilisant la clé de partition réseau du frame qui a appelé la méthode. Pour éviter toute fuite inattendue de données multi-origines via la promesse renvoyée, la récupération utilise le mode CORS. La réponse récupérée doit avoir un type MIME JSON et se présenter au format suivant :
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indique si l'origine du chemin d'accès est autorisée à rejoindre ou à quitter des groupes d'intérêt appartenant au domaine auquel la requête est envoyée. Les autorisations manquantes sont considérées comme étant "false" (false). Étant donné que l'appel de navigator.joinAdInterestGroup() avec une valeur lifetimeMs de 0 permet de quitter un groupe d'intérêt, joinAdInterestGroup: true permet également à une origine d'appeler navigator.leaveAdInterestGroup(), même si leaveadInterestGroup est manquant ou défini sur "false". Notez que leaveAdInterestGroup() et clearOriginJoinedAdInterestGroups() vérifient l'autorisation leaveAdInterestGroup.