Scopri come controllare la gestione dei segmenti di pubblico utilizzando un criterio di autorizzazioni o delegarla a una terza parte configurando un URL di autorizzazioni .well-known.
L'origine del contesto di chiamata per joinAdInterestGroup() deve corrispondere all'origine del proprietario del gruppo di interesse, quindi joinAdInterestGroup() dovrà essere chiamato da un iframe (ad esempio, da una DSP) a meno che l'origine del proprietario del gruppo di interesse non corrisponda all'origine del documento corrente (ad esempio, un sito web con i propri gruppi di interesse).
joinAdInterestGroup() richiede l'autorizzazione di:
- Il sito visitato
- Proprietario del gruppo di interesse
Questo significa che malicious.example non può chiamare joinAdInterestGroup() per un gruppo di interesse di proprietà di dsp.example.com senza l'autorizzazione di dsp.example.com.
Autorizzazione dal sito visitato
L'autorizzazione può essere concessa dalla stessa origine o multiorigine.
Per impostazione predefinita, l'autorizzazione viene concessa per le chiamate joinAdInterestGroup() provenienti dalla stessa origine del sito visitato, ovvero dalla stessa origine del frame di primo livello della pagina corrente. I siti possono usare l'intestazione del criterio delle autorizzazioni join-ad-interest-group per disattivare le chiamate joinAdInterestGroup().
La chiamata di joinAdInterestGroup() multiorigine (origini diverse dalla pagina corrente) può avere esito positivo solo se il sito visitato ha impostato un criterio di autorizzazioni che consente chiamate a joinAdInterestGroup() da iframe multiorigine.
Autorizzazione dal proprietario del gruppo di interesse
L'autorizzazione del proprietario del gruppo di interesse viene implicitamente concessa richiamando joinAdInterestGroup() da un iframe con la stessa origine del proprietario del gruppo di interesse. Ad esempio, un iframe di dsp.example.com può chiamare joinAdInterestGroup() per i gruppi di interesse di proprietà di dsp.example.com.
In sostanza, joinAdInterestGroup() può essere eseguito in una pagina o in un iframe del dominio del proprietario oppure può essere delegato ad altri domini forniti utilizzando un elenco a un URL .well-known.
Quando un frame passa a un dominio chiama joinAdInterestGroup(), leaveAdInterestGroup() o clearOriginJoinedAdInterestGroups() per un gruppo di interesse con un proprietario diverso, il browser recupera l'URL https://owner.domain/.well-known/interest-group/permissions/?origin=frame.origin, dove owner.domain è il dominio proprietario del gruppo di interesse e frame.origin è l'origine del frame. Per il recupero viene usata la modalità di omissione delle credenziali, utilizzando la chiave di partizione di rete del frame che ha richiamato il metodo. Per evitare la fuoriuscita inaspettata di dati multiorigine tramite la Promise restituita, il recupero utilizza la modalità Cors. La risposta recuperata deve avere un tipo MIME JSON ed essere nel formato:
{ "joinAdInterestGroup": true/false,
"leaveAdInterestGroup": true/false
}
Indicare se l'origine nel percorso dispone delle autorizzazioni per partecipare a gruppi di interesse o abbandonarli di proprietà del dominio a cui viene inviata la richiesta. Si presume che le autorizzazioni mancanti siano false. Poiché la chiamata a navigator.joinAdInterestGroup() con lifetimeMs pari a 0 lascia effettivamente un gruppo di interesse, joinAdInterestGroup: true consente anche a un'origine di chiamare navigator.leaveAdInterestGroup(), anche se leaveadInterestGroup non è presente o è impostato su false. Tieni presente che sia leaveAdInterestGroup() sia clearOriginJoinedAdInterestGroups() controllano l'autorizzazione leaveAdInterestGroup.