권한 정책을 사용하여 잠재고객 관리를 제어하거나 .well-known 권한 URL을 구성하여 서드 파티에 위임하는 방법을 알아봅니다.
joinAdInterestGroup() 호출 컨텍스트의 출처는 관심분야 그룹 소유자의 출처와 일치해야 하므로 관심분야 그룹 소유자의 출처가 현재 문서의 출처 (예: 자체 관심분야 그룹이 있는 웹사이트)와 일치하지 않는 한 joinAdInterestGroup()은 iframe에서 호출해야 합니다 (예: DSP에서).
joinAdInterestGroup()에는 다음의 권한이 필요합니다.
- 방문 중인 사이트
- 관심분야 그룹 소유자
즉, dsp.example.com가 권한을 부여하지 않으면 malicious.example가 dsp.example.com 소유의 관심분야 그룹에 대해 joinAdInterestGroup()을 호출할 수 없습니다.
방문한 사이트의 권한
권한은 동일 출처 또는 교차 출처에서 부여할 수 있습니다.
기본적으로 방문한 사이트와 동일한 출처(즉, 현재 페이지의 최상위 프레임과 동일한 출처)에서 joinAdInterestGroup() 호출에 대한 권한이 부여됩니다. 사이트는 join-ad-interest-group 권한 정책 헤더를 사용하여 joinAdInterestGroup() 호출을 사용 중지할 수 있습니다.
교차 출처 (현재 페이지와 다른 출처)에서 joinAdInterestGroup()를 호출하는 것은 방문하는 사이트에서 교차 출처 iframe에서 joinAdInterestGroup() 호출을 허용하는 권한 정책을 설정한 경우에만 성공할 수 있습니다.
관심분야 그룹 소유자의 허가
관심분야 그룹 소유자 권한은 관심분야 그룹 소유자와 동일한 출처를 가진 iframe에서 joinAdInterestGroup()를 호출하여 암시적으로 부여됩니다. 예를 들어 dsp.example.com iframe은 dsp.example.com가 소유한 관심분야 그룹에 대해 joinAdInterestGroup()을 호출할 수 있습니다.
기본적으로 joinAdInterestGroup()는 소유자 도메인의 페이지나 iframe에서 실행되거나 .well-known URL의 목록을 사용하여 제공되는 다른 도메인에 위임될 수 있습니다.
한 도메인으로 이동한 프레임이 소유자가 다른 관심분야 그룹에 대해 joinAdInterestGroup(), leaveAdInterestGroup() 또는 clearOriginJoinedAdInterestGroups()를 호출하면 브라우저는 URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin를 가져옵니다. 여기서 owner.domain은 관심분야 그룹을 소유한 도메인이고 frame.origin은 프레임의 출처입니다. 가져오기는 메서드를 호출한 프레임의 네트워크 파티션 키를 사용하여 사용자 인증 정보 생략 모드를 사용합니다. 반환된 Promise를 통해 예기치 않게 교차 출처 데이터가 유출되지 않도록 가져오기는 cors 모드를 사용합니다. 가져온 응답은 JSON MIME 유형이어야 하며 형식은 다음과 같아야 합니다.
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
경로의 출처에 요청이 전송된 도메인이 소유한 관심분야 그룹에 가입하거나 관심분야 그룹에서 탈퇴할 권한이 있는지 나타냅니다. 누락된 권한은 false로 간주됩니다. lifetimeMs이 0인 상태로 navigator.joinAdInterestGroup()를 호출하면 관심분야 그룹이 효과적으로 남게 되므로 joinAdInterestGroup: true를 사용하면 leaveadInterestGroup이 누락되거나 false로 설정된 경우에도 출처가 navigator.leaveAdInterestGroup()를 호출할 수 있습니다. leaveAdInterestGroup()와 clearOriginJoinedAdInterestGroups() 모두 leaveAdInterestGroup 권한을 확인합니다.