הגשת קבצי אימות ב-edge: ads.txt, security.txt, AASA ו-assetlinks.json

החלק הקשה בקבצי אימות הוא לרוב לא התוכן, אלא ה-path.

Ad ops צריכה ads.txt ב-root. Security צריכה security.txt תחת /.well-known/. Mobile צריכה apple-app-site-association. Android צריכה assetlinks.json. CMS, storefront או site builder יכולים לעבוד מצוין עם עמודים רגילים, אבל להיכשל דווקא ב-URLs הספציפיים האלה.

כך קובץ קטן אחד חוסם קמפיין, אימות אפליקציה או migration.

אם אתה עובד גם על Universal Links או Android App Links, שמור בהישג יד את איך להגדיר Universal Links ו-App Links אחרי Firebase. המאמר הזה מתמקד בהגשת הקבצים עצמם.

הבעיה של root ו-.well-known

הקבצים האלה קטנים, אבל המערכות שמאמתות אותם נוקשות.

שגיאות נפוצות:

• CMS לא מאפשר root file
• /.well-known/ נתפס על ידי router של האפליקציה
• מופיע redirect לפני הקובץ
• Content-Type שגוי
• אחרי launch אין owner

edge שימושי כי הוא יכול לענות ישירות ב-path הנדרש בלי להפוך את כל האתר לפרויקט תשתית.

לכל קובץ יש תפקיד אחר

ads.txt ו-app-ads.txt

קבצים אלה משמשים לשקיפות פרסומית ול-inventory מורשה. הם צריכים להיות קלים לקריאה:

• path ישיר
• 200 response
• text plain
• owner ברור

אם הם נמצאים מאחורי login, redirect או CMS fallback, האימות עלול להיכשל.

security.txt

security.txt מסביר איך לדווח על פגיעות. בהרבה צוותים האחריות מתפזרת בין web, security, legal ו-platform.

edge response מבהיר את ה-path, ה-body, ה-Content-Type וה-owner.

apple-app-site-association

Universal Links של Apple תלויים ב-AASA file במקום הנכון. כשהקובץ נכשל, הצוותים לפעמים עושים debug לאפליקציה במקום לחיפוש בעיית delivery.

assetlinks.json

Android App Links צריך assetlinks.json תקף. אם הקובץ חסר, מיושן או נכתב מחדש על ידי site builder, ה-domain verification נהיה לא יציב.

מה edge response חייב לעשות נכון

לא צריך להיות חכם. צריך להיות מדויק.

אם פלטפורמה דורשת path מדויק אחר, פעל לפי התיעוד שלה. העיקר הוא שה-contract יישאר ניתן לאימות.

אל תסתיר קבצים כאלה מאחורי redirects

לקבצי אימות, direct response בדרך כלל בטוח יותר.

כל hop נוסף מוסיף נקודת כשל. גם debugging נהיה קשה יותר כשאתמול עבר והיום לא.

השתמש ב-redirect רק אם ה-consumer מקבל זאת מפורשות. אחרת עדיף להגיש ישירות.

קבע ownership

קבצים כאלה נשברים כשאחרי launch אף אחד לא מרגיש בעלות עליהם.

מודל עבודה נוח:

• ad ops מחזיקה ads.txt ו-app-ads.txt
• mobile engineering מחזיקה AASA ו-assetlinks.json
• security או platform מחזיקה security.txt
• web/platform מחזיקה path, status ו-Content-Type

במעבר CMS, rebrand או עדכון אפליקציה, ownership כזה חוסך הרבה זמן.

תהליך עבודה פשוט

1. לקבוע exact path לכל קובץ
2. להגדיר body ו-Content-Type
3. להגיש ישירות מ-edge
4. לתעד owner ו-review date
5. לבדוק עם consumer אמיתי, לא רק בדפדפן

זה מתאים במיוחד כשלא רוצים deploy נפרד ל-origin רק בשביל כמה root files.

איפה UrlEdge מתאים

אפשר להשתמש ב-Custom Response Tool של UrlEdge כדי להגיש responses קצרים מסוג text או JSON ישירות מה-edge.

זה שימושי כאשר:

• origin מתקשה עם root או .well-known
• צריך 200 ישיר
• צריך לשלוט ב-Content-Type וב-body
• הדומיין כבר משתמש ב-UrlEdge ל-redirects או routing

זה לא מחליף את כל deep link stack. הוא מסיר את חיכוך ה-hosting של הקבצים.

FAQ

האם הקבצים חייבים להיות ב-origin?

לא. הם צריכים להיות זמינים ב-path הצפוי. אם origin לא יודע לעשות זאת היטב, edge delivery הוא פתרון מעשי.

אפשר לעשות להם redirect?

רק אם הפלטפורמה שמבצעת את הבדיקה מקבלת זאת. בדרך כלל direct response יציב יותר.

למה לא להשאיר את זה ל-CMS?

הרבה CMS טובים בעמודים אבל חלשים ב-root או /.well-known/. זה בדיוק הפער שצריך לסגור.

זה רק לאפליקציות?

לא. AASA ו-assetlinks.json קשורים לאפליקציות, אבל ads.txt, app-ads.txt ו-security.txt קשורים לפרסום ואבטחה.

מקורות

• RFC 9116: security.txt
• Apple: Supporting Universal Links in Your App
• Android Developers: Verify Android App Links
• IAB Tech Lab: ads.txt
• UrlEdge Custom Response Tool