Tìm hiểu cách kiểm soát hoạt động quản lý đối tượng bằng cách sử dụng Permissions Policy hoặc uỷ quyền cho bên thứ ba bằng cách định cấu hình URL quyền .well-known.
Nguồn gốc của ngữ cảnh gọi cho joinAdInterestGroup() phải khớp với nguồn gốc của chủ sở hữu nhóm đối tượng có cùng mối quan tâm, vì vậy, joinAdInterestGroup() sẽ cần được gọi từ một iframe (ví dụ: từ một DSP) trừ phi nguồn gốc của chủ sở hữu nhóm đối tượng có cùng mối quan tâm khớp với nguồn gốc của tài liệu hiện tại (ví dụ: một trang web có các nhóm đối tượng có cùng mối quan tâm riêng).
joinAdInterestGroup() yêu cầu quyền của:
- Trang web đang được truy cập
- Chủ sở hữu nhóm đối tượng có cùng mối quan tâm
Điều này có nghĩa là malicious.example không thể gọi joinAdInterestGroup() cho một nhóm mối quan tâm thuộc sở hữu của dsp.example.com mà không có sự cho phép của dsp.example.com.
Quyền của trang web đã truy cập
Bạn có thể cấp quyền từ cùng nguồn gốc hoặc nhiều nguồn gốc.
Theo mặc định, quyền được cấp cho các lệnh gọi joinAdInterestGroup() từ cùng một nguồn gốc với trang web đã truy cập (nói cách khác, từ cùng một nguồn gốc với khung cấp cao nhất của trang hiện tại). Các trang web có thể sử dụng tiêu đề chính sách về quyền join-ad-interest-group để tắt các lệnh gọi joinAdInterestGroup().
Việc gọi joinAdInterestGroup() trên nhiều nguồn gốc (các nguồn gốc khác với trang hiện tại) chỉ có thể thành công nếu trang web bạn đang truy cập đã đặt một chính sách về quyền cho phép các lệnh gọi đến joinAdInterestGroup() từ iframe trên nhiều nguồn gốc.
Sự cho phép của chủ sở hữu nhóm đối tượng có cùng mối quan tâm
Quyền của chủ sở hữu nhóm lợi ích được cấp ngầm bằng cách gọi joinAdInterestGroup() từ một iframe có cùng nguồn gốc với chủ sở hữu của nhóm lợi ích. Ví dụ: iframe dsp.example.com có thể gọi joinAdInterestGroup() cho các nhóm lợi ích thuộc sở hữu của dsp.example.com.
Về cơ bản, joinAdInterestGroup() có thể chạy trong một trang hoặc iframe trên miền của chủ sở hữu, hoặc được uỷ quyền cho các miền khác được cung cấp bằng một danh sách tại URL .well-known.
Khi một khung điều hướng đến một miền gọi joinAdInterestGroup(), leaveAdInterestGroup() hoặc clearOriginJoinedAdInterestGroups() cho một nhóm mối quan tâm có chủ sở hữu khác, trình duyệt sẽ tìm nạp URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, trong đó owner.domain là miền sở hữu nhóm mối quan tâm và frame.origin là nguồn gốc của khung. Lệnh tìm nạp sử dụng chế độ bỏ qua thông tin đăng nhập, sử dụng Khoá phân vùng mạng của khung đã gọi phương thức. Để tránh rò rỉ dữ liệu trên nhiều nguồn thông qua Promise được trả về một cách không mong muốn, lệnh tìm nạp sẽ sử dụng chế độ cors. Phản hồi được tìm nạp phải có loại MIME JSON và có định dạng:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Cho biết liệu nguồn gốc trong đường dẫn có quyền tham gia hoặc rời khỏi các nhóm lợi ích thuộc sở hữu của miền mà yêu cầu được gửi đến hay không. Các quyền bị thiếu được giả định là sai. Vì việc gọi navigator.joinAdInterestGroup() với lifetimeMs bằng 0 sẽ loại bỏ một nhóm đối tượng có cùng mối quan tâm một cách hiệu quả, nên joinAdInterestGroup: true cũng cho phép một nguồn gọi navigator.leaveAdInterestGroup(), ngay cả khi leaveadInterestGroup bị thiếu hoặc được đặt thành false. Xin lưu ý rằng cả leaveAdInterestGroup() và clearOriginJoinedAdInterestGroups() đều kiểm tra quyền leaveAdInterestGroup.