Scopri come controllare la gestione del pubblico utilizzando un criterio Permissions Policy o delega a una terza parte configurando un URL delle autorizzazioni .well-known.
L'origine del contesto di chiamata per joinAdInterestGroup() deve corrispondere all'origine del proprietario del gruppo basato sugli interessi, quindi joinAdInterestGroup() dovrà essere chiamato da un iframe (ad esempio da una DSP), a meno che l'origine del proprietario del gruppo basato sugli interessi non corrisponda all'origine del documento corrente (ad esempio, un sito web con i propri gruppi basati sugli interessi).
joinAdInterestGroup() richiede l'autorizzazione di:
- Il sito visitato
- Il proprietario del gruppo basato sugli interessi
Ciò significa che malicious.example non può chiamare joinAdInterestGroup() per un gruppo basato sugli interessi di proprietà di dsp.example.com senza che dsp.example.com conceda l'autorizzazione.
Autorizzazione del sito visitato
L'autorizzazione può essere concessa dalla stessa origine o da origini diverse.
Per impostazione predefinita, l'autorizzazione viene concessa per le chiamate joinAdInterestGroup() dalla stessa origine del sito visitato, ovvero dalla stessa origine del frame di primo livello della pagina corrente. I siti possono utilizzare l'intestazione del criterio di autorizzazione join-ad-interest-group per disattivare le chiamate joinAdInterestGroup().
La chiamata di joinAdInterestGroup() multiorigine (origini diverse dalla pagina corrente) può avere esito positivo solo se il sito visitato ha impostato un criterio delle autorizzazioni che consente le chiamate a joinAdInterestGroup() da iframe multiorigine.
Autorizzazione del proprietario del gruppo basato sugli interessi
L'autorizzazione del proprietario del gruppo di interesse viene concessa implicitamente chiamando joinAdInterestGroup() da un iframe con la stessa origine del proprietario del gruppo di interesse. Ad esempio, un iframe dsp.example.com può chiamare joinAdInterestGroup() per i gruppi di interesse di proprietà di dsp.example.com.
In sostanza, joinAdInterestGroup() può essere eseguito in una pagina o in un iframe sul dominio del proprietario oppure può essere delegato ad altri domini forniti utilizzando un elenco a un URL .well-known.
Quando un frame che ha eseguito la navigazione in un dominio chiama joinAdInterestGroup(), leaveAdInterestGroup() o clearOriginJoinedAdInterestGroups() per un gruppo di interesse con un proprietario diverso, il browser recupera l'URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, dove owner.domain è il dominio proprietario del gruppo di interesse e frame.origin è l'origine del frame. Il recupero utilizza la modalità Ometti credenziali, utilizzando la chiave di partizione di rete del frame che ha richiamato il metodo. Per evitare la perdita di dati multiorigine tramite la promessa restituita in modo imprevisto, il recupero utilizza la modalità cors. La risposta recuperata deve avere un tipo MIME JSON e il seguente formato:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indica se l'origine nel percorso dispone delle autorizzazioni per entrare a far parte di gruppi di interesse di proprietà del dominio a cui viene inviata la richiesta o per uscire da questi gruppi. Le autorizzazioni mancanti vengono considerate false. Poiché chiamare navigator.joinAdInterestGroup() con un valore lifetimeMs pari a 0 comporta l'uscita da un gruppo di interesse, joinAdInterestGroup: true consente anche a un'origine di chiamare navigator.leaveAdInterestGroup(), anche se leaveadInterestGroup non è presente o è impostato su false. Tieni presente che sia leaveAdInterestGroup() sia clearOriginJoinedAdInterestGroups() controllano l'autorizzazione leaveAdInterestGroup.