Aprende a controlar la administración de públicos mediante una política de permisos o delega a un tercero mediante la configuración de una URL de permisos .well-known.
El origen del contexto de llamada para joinAdInterestGroup() debe coincidir con el origen del propietario del grupo de interés, por lo que se deberá llamar a joinAdInterestGroup() desde un iframe (por ejemplo, desde una DSP), a menos que el origen del propietario del grupo de interés coincida con el origen del documento actual (por ejemplo, un sitio web con sus propios grupos de intereses).
joinAdInterestGroup() requiere el permiso de:
- El sitio que se visita.
- El propietario del grupo de interés
Esto significa que malicious.example no puede llamar a joinAdInterestGroup() para un grupo de interés que pertenece a dsp.example.com sin que dsp.example.com otorgue el permiso.
Permiso del sitio visitado
Los permisos se pueden otorgar desde el mismo origen o origen cruzado.
De forma predeterminada, se concede permiso a las llamadas de joinAdInterestGroup() que provengan del mismo origen que el sitio visitado (en otras palabras, del mismo origen que el marco de nivel superior de la página actual). Los sitios pueden usar el encabezado de la política de permisos de join-ad-interest-group para inhabilitar las llamadas de joinAdInterestGroup().
La llamada de origen cruzado de joinAdInterestGroup() (orígenes que son diferentes de la página actual) solo se puede llamar correctamente si el sitio que se está visitando estableció una política de permisos que permita llamadas a joinAdInterestGroup() desde iframes de origen cruzado.
Permiso del propietario del grupo de interés
El permiso de propietario del grupo de interés se otorga de forma implícita llamando a joinAdInterestGroup() desde un iframe con el mismo origen que el del propietario del grupo de interés. Por ejemplo, un iframe de dsp.example.com puede llamar a joinAdInterestGroup() para los grupos de intereses que pertenecen a dsp.example.com.
En esencia, joinAdInterestGroup() se puede ejecutar en una página o iframe en el dominio del propietario, o se puede delegar a otros dominios proporcionados mediante una lista en una URL de .well-known.
Cuando un marco navega a un dominio llama a joinAdInterestGroup(), leaveAdInterestGroup() o clearOriginJoinedAdInterestGroups() para un grupo de interés con un propietario diferente, el navegador recupera la URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, donde owner.domain es el dominio propietario del grupo de interés y frame.origin es el origen del marco. La recuperación usa el modo de omitir credenciales con la clave de partición de red del marco que invocó el método. Para evitar filtrar datos de origen cruzado a través de la promesa que se muestra de forma inesperada, la recuperación usa el modo cors. La respuesta recuperada debe tener un tipo de MIME JSON y tener el siguiente formato:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indicar si el origen de la ruta de acceso tiene permisos para unirse a grupos de interés que son propiedad del dominio al que se envía la solicitud o abandonarlos. Se supone que los permisos faltantes son falsos. Dado que llamar a navigator.joinAdInterestGroup() con un lifetimeMs de 0 abandona un grupo de interés, joinAdInterestGroup: true también permite que un origen llame a navigator.leaveAdInterestGroup(), incluso si falta leaveadInterestGroup o está configurado como falso. Ten en cuenta que leaveAdInterestGroup() y clearOriginJoinedAdInterestGroups() verifican el permiso leaveAdInterestGroup.