Hier erfahren Sie, wie Sie die Zielgruppenverwaltung mithilfe einer Berechtigungsrichtlinie steuern oder eine .well-known-Berechtigungs-URL konfigurieren, um sie an einen Drittanbieter zu delegieren.
Der Ursprung des Aufrufkontexts für joinAdInterestGroup() muss mit dem Ursprung des Interessengruppeninhabers übereinstimmen. Daher muss joinAdInterestGroup() von einem iFrame (z. B. von einer DSP) aufgerufen werden, es sei denn, der Ursprung des Interessengruppeninhabers stimmt mit dem Ursprung des aktuellen Dokuments überein (z. B. eine Website mit eigenen Interessengruppen).
joinAdInterestGroup() benötigt die Berechtigung von:
- Die besuchte Website
- Inhaber der Interessengruppe
Das bedeutet, dass malicious.example nur dann joinAdInterestGroup() für eine Interessengruppe von dsp.example.com aufrufen kann, wenn dsp.example.com die entsprechende Berechtigung erteilt hat.
Berechtigung der besuchten Website
Die Berechtigung kann vom selben oder ursprungsübergreifend gewährt werden.
Standardmäßig wird die Berechtigung für joinAdInterestGroup()-Aufrufe gewährt, die vom selben Ursprung stammen wie die besuchte Website, also von demselben Ursprung wie der Frame auf oberster Ebene der aktuellen Seite. Websites können den Header der join-ad-interest-group-Berechtigungsrichtlinie verwenden, um joinAdInterestGroup()-Aufrufe zu deaktivieren.
Das ursprungsübergreifende Aufrufen von joinAdInterestGroup() (Ursprünge, die von der aktuellen Seite abweichen) ist nur erfolgreich, wenn für die besuchte Website eine Berechtigungsrichtlinie festgelegt wurde, die Aufrufe von joinAdInterestGroup() aus ursprungsübergreifenden iFrames zulässt.
Erlaubnis des Inhabers der Interessengruppe
Die Inhaberberechtigung für eine Interessengruppe wird implizit erteilt, indem joinAdInterestGroup() über einen iFrame aufgerufen wird, der denselben Ursprung hat wie der Inhaber der Interessengruppe. Beispielsweise kann ein dsp.example.com-iFrame joinAdInterestGroup() für Interessengruppen aufrufen, die zu dsp.example.com gehören.
Im Wesentlichen kann joinAdInterestGroup() auf einer Seite oder in einem iFrame in der Domain des Inhabers ausgeführt oder an andere Domains delegiert werden, die mithilfe einer Liste unter einer .well-known-URL bereitgestellt werden.
Wenn ein Frame, der zu einer Domain navigiert wird, joinAdInterestGroup(), leaveAdInterestGroup() oder clearOriginJoinedAdInterestGroups() für eine Interessengruppe mit einem anderen Inhaber aufruft, ruft der Browser die URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin ab, wobei owner.domain die Domain ist, zu der die Interessengruppe gehört, und frame.origin den Ursprung des Frames. Beim Abruf wird der Modus zum Auslassen von Anmeldedaten verwendet, wobei der Netzwerkpartitionsschlüssel des Frames verwendet wird, der die Methode aufgerufen hat. Damit ursprungsübergreifende Daten nicht unerwartet über das zurückgegebene Promise offengelegt werden, wird für den Abruf der Cors-Modus verwendet. Die abgerufene Antwort sollte einen JSON-MIME-Typ haben und folgendes Format haben:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Angabe, ob der Ursprung im Pfad berechtigt ist, Interessengruppen beizutreten oder sie zu verlassen, die der Domain gehören, an die die Anfrage gesendet wird. Es wird angenommen, dass fehlende Berechtigungen falsch sind. Da der Aufruf von navigator.joinAdInterestGroup() mit einem lifetimeMs von 0 faktisch eine Interessengruppe verlässt, erlaubt joinAdInterestGroup: true auch einem Ursprung, navigator.leaveAdInterestGroup() aufzurufen, selbst wenn leaveadInterestGroup fehlt oder auf „false“ gesetzt ist. Sowohl leaveAdInterestGroup() als auch clearOriginJoinedAdInterestGroups() prüfen die Berechtigung leaveAdInterestGroup.