Obtén información para controlar la administración de públicos con una política de permisos o delegar en un tercero configurando una URL de permisos conocida.
El origen del contexto de llamada para joinAdInterestGroup() debe coincidir con el origen del propietario del grupo de interés, por lo que se deberá llamar a joinAdInterestGroup() desde un iframe (por ejemplo, desde una DSP), a menos que el origen del propietario del grupo de interés coincida con el origen del documento actual (por ejemplo, un sitio web con sus propios grupos de interés).
joinAdInterestGroup() requiere permiso de lo siguiente:
- El sitio que se visita
- El propietario del grupo de interés
Esto significa que malicious.example no puede llamar a joinAdInterestGroup() para un grupo de interés que pertenece a dsp.example.com sin que dsp.example.com otorgue permiso.
Permiso del sitio visitado
El permiso se puede otorgar desde el mismo origen o desde un origen cruzado.
De forma predeterminada, se otorga permiso para las llamadas a joinAdInterestGroup() desde el mismo origen que el sitio visitado (en otras palabras, desde el mismo origen que el marco de nivel superior de la página actual). Los sitios pueden usar el encabezado de la política de permisos join-ad-interest-group para inhabilitar las llamadas a joinAdInterestGroup().
Las llamadas a joinAdInterestGroup() de origen cruzado (orígenes diferentes de la página actual) solo pueden tener éxito si el sitio que se visita estableció una política de permisos que permite llamadas a joinAdInterestGroup() desde iframes de origen cruzado.
Permiso del propietario del grupo de interés
El permiso del propietario del grupo de interés se otorga de forma implícita llamando a joinAdInterestGroup() desde un iframe con el mismo origen que el del propietario del grupo de interés. Por ejemplo, un iframe de dsp.example.com puede llamar a joinAdInterestGroup() para los grupos de interés que pertenecen a dsp.example.com.
En esencia, joinAdInterestGroup() se puede ejecutar en una página o un iframe en el dominio del propietario, o bien se puede delegar en otros dominios proporcionados a través de una lista en una URL de .well-known.
Cuando un iframe que navegó a un dominio llama a joinAdInterestGroup(), leaveAdInterestGroup() o clearOriginJoinedAdInterestGroups() para un grupo de interés con un propietario diferente, el navegador recuperará la URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, en la que owner.domain es el dominio propietario del grupo de interés y frame.origin es el origen del iframe. La recuperación usa el modo de omisión de credenciales, con la clave de partición de red del marco que invocó el método. Para evitar que se filtren datos de origen cruzado a través de la promesa devuelta de forma inesperada, la recuperación usa el modo cors. La respuesta recuperada debe tener un tipo MIME JSON y el siguiente formato:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indica si el origen de la ruta tiene permisos para unirse a los grupos de interés que son propiedad del dominio al que se envía la solicitud o para abandonarlos. Se supone que los permisos faltantes son falsos. Dado que llamar a navigator.joinAdInterestGroup() con un lifetimeMs de 0 equivale a abandonar un grupo de interés, joinAdInterestGroup: true también permite que un origen llame a navigator.leaveAdInterestGroup(), incluso si falta leaveadInterestGroup o si se establece en falso. Ten en cuenta que leaveAdInterestGroup() y clearOriginJoinedAdInterestGroups() verifican el permiso leaveAdInterestGroup.