Hier erfahren Sie, wie Sie die Zielgruppenverwaltung mithilfe einer Berechtigungsrichtlinie steuern oder an einen Drittanbieter delegieren, indem Sie eine .well-known-Berechtigungs-URL konfigurieren.
Der Ursprung des aufrufenden Kontexts für joinAdInterestGroup() muss mit dem Ursprung des Inhabers der Interessengruppe übereinstimmen. joinAdInterestGroup() muss also über ein iFrame aufgerufen werden (z. B. von einer DSP), es sei denn, der Ursprung des Inhabers der Interessengruppe stimmt mit dem Ursprung des aktuellen Dokuments überein (z. B. eine Website mit eigenen Interessengruppen).
Für joinAdInterestGroup() ist eine Berechtigung von folgenden Personen erforderlich:
- Die besuchte Website
- Der Inhaber der Interessengruppe
Das bedeutet, dass malicious.example joinAdInterestGroup() nicht für eine Interessengruppe aufrufen kann, die dsp.example.com gehört, ohne dass dsp.example.com die Berechtigung erteilt.
Berechtigung von der besuchten Website
Berechtigungen können vom selben oder von einem anderen Ursprung erteilt werden.
Standardmäßig wird die Berechtigung für joinAdInterestGroup()-Aufrufe vom selben Ursprung wie die besuchte Website gewährt, d. h. vom selben Ursprung wie der Frame der obersten Ebene der aktuellen Seite. Websites können den Berechtigungsrichtlinien-Header join-ad-interest-group verwenden, um joinAdInterestGroup()-Aufrufe zu deaktivieren.
Der ursprungsübergreifende Aufruf von joinAdInterestGroup() (Ursprünge, die sich vom Ursprung der aktuellen Seite unterscheiden) kann nur erfolgreich sein, wenn die besuchte Website eine Berechtigungsrichtlinie festgelegt hat, die Aufrufe von joinAdInterestGroup() aus ursprungsübergreifenden iFrames zulässt.
Genehmigung des Inhabers der Interessengruppe
Die Berechtigung des Inhabers der Interessengruppe wird implizit erteilt, indem joinAdInterestGroup() über ein iFrame mit demselben Ursprung wie der des Inhabers der Interessengruppe aufgerufen wird. Ein dsp.example.com-Iframe kann beispielsweise joinAdInterestGroup() für Interessengruppen aufrufen, deren Inhaber dsp.example.com ist.
Im Wesentlichen kann joinAdInterestGroup() auf einer Seite oder in einem iFrame in der Domain des Inhabers ausgeführt oder an andere Domains delegiert werden, die über eine Liste unter einer .well-known-URL bereitgestellt werden.
Wenn ein Frame, der zu einer Domain navigiert wurde, joinAdInterestGroup(), leaveAdInterestGroup() oder clearOriginJoinedAdInterestGroups() für eine Interessengruppe mit einem anderen Inhaber aufruft, ruft der Browser die URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin ab, wobei owner.domain die Domain ist, die die Interessengruppe besitzt, und frame.origin der Ursprung des Frames ist. Beim Abrufen wird der Modus „omit credentials“ verwendet. Dabei wird der Network Partition Key des Frames verwendet, der die Methode aufgerufen hat. Um zu verhindern, dass unerwartet ursprungsübergreifende Daten über das zurückgegebene Promise weitergegeben werden, wird für den Fetch der CORS-Modus verwendet. Die abgerufene Antwort sollte einen JSON-MIME-Typ haben und das folgende Format aufweisen:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Gibt an, ob der Ursprung im Pfad Berechtigungen hat, um Interessengruppen beizutreten oder diese zu verlassen, die der Domain gehören, an die die Anfrage gesendet wird. Fehlende Berechtigungen werden als „false“ angenommen. Da durch den Aufruf von navigator.joinAdInterestGroup() mit einem lifetimeMs von 0 eine Interessengruppe effektiv verlassen wird, ermöglicht joinAdInterestGroup: true einem Ursprung auch den Aufruf von navigator.leaveAdInterestGroup(), selbst wenn leaveadInterestGroup fehlt oder auf „false“ gesetzt ist. Sowohl leaveAdInterestGroup() als auch clearOriginJoinedAdInterestGroups() prüfen die Berechtigung leaveAdInterestGroup.