Découvrez comment contrôler la gestion des audiences à l'aide d'une règle d'autorisation ou déléguer à un tiers en configurant une URL d'autorisation .well-known.
L'origine du contexte d'appel pour joinAdInterestGroup() doit correspondre à celle du propriétaire du groupe de centres d'intérêt. joinAdInterestGroup() devra donc être appelé depuis un iFrame (par exemple, à partir d'une DSP), sauf si l'origine du propriétaire du groupe de centres d'intérêt correspond à l'origine du document actuel (par exemple, un site Web avec ses propres groupes de centres d'intérêt).
joinAdInterestGroup() a besoin de l'autorisation de:
- Le site visité
- Le propriétaire du groupe de centres d'intérêt
Autrement dit, malicious.example ne peut pas appeler joinAdInterestGroup() pour un groupe d'intérêt appartenant à dsp.example.com sans que dsp.example.com ne lui accorde l'autorisation.
Autorisation du site consulté
L'autorisation peut être accordée pour la même origine ou pour plusieurs origines.
Par défaut, l'autorisation est accordée pour les appels joinAdInterestGroup() provenant de la même origine que le site consulté, c'est-à-dire de la même origine que le frame de premier niveau de la page actuelle. Les sites peuvent utiliser l'en-tête de la règle d'autorisation join-ad-interest-group pour désactiver les appels joinAdInterestGroup().
L'appel multi-origine de joinAdInterestGroup() (origines différentes de la page actuelle) ne peut réussir que si le site consulté a défini une règle d'autorisation qui autorise les appels à joinAdInterestGroup() depuis des iFrames multi-origines.
Autorisation du propriétaire du groupe de centres d'intérêt
L'autorisation de propriétaire d'un groupe de centres d'intérêt est accordée implicitement en appelant joinAdInterestGroup() à partir d'un iFrame ayant la même origine que celle du propriétaire du groupe de centres d'intérêt. Par exemple, un iFrame dsp.example.com peut appeler joinAdInterestGroup() pour les groupes de centres d'intérêt appartenant à dsp.example.com.
Concrètement, joinAdInterestGroup() peut s'exécuter sur une page ou un iFrame sur le domaine du propriétaire, ou être délégué à d'autres domaines fournis à l'aide d'une liste à une URL .well-known.
Lorsqu'un frame accède à un domaine appelle joinAdInterestGroup(), leaveAdInterestGroup() ou clearOriginJoinedAdInterestGroups() pour un groupe d'intérêt avec un propriétaire différent, le navigateur extrait l'URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, où owner.domain est le domaine propriétaire du groupe de centres d'intérêt et frame.origin est l'origine du frame. La récupération utilise le mode omettre les informations d'identification, à l'aide de la clé de partition réseau du frame qui a appelé la méthode. Pour éviter les fuites de données multi-origines de manière inattendue via la promesse renvoyée, la récupération utilise le mode Cors. La réponse récupérée doit présenter un type MIME JSON et être au format suivant:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indique si l'origine du chemin est autorisée à rejoindre ou quitter des groupes d'intérêt appartenant au domaine auquel la requête est envoyée. Les autorisations manquantes sont considérées comme fausses. Étant donné que l'appel de navigator.joinAdInterestGroup() avec un lifetimeMs de 0 quitte efficacement un groupe de centres d'intérêt, joinAdInterestGroup: true permet également à un point de départ d'appeler navigator.leaveAdInterestGroup(), même si leaveadInterestGroup est manquant ou défini sur "false". Notez que leaveAdInterestGroup() et clearOriginJoinedAdInterestGroups() vérifient l'autorisation leaveAdInterestGroup.