Permissions-Policy：特性治理与最小授权实践

---

title: Permissions-Policy：特性治理与最小授权实践

keywords:

• Permissions-Policy
• Feature Policy
• iframe allow
• geolocation
• camera

description: 通过服务器头或 iframe 精确限制特性使用范围，以最小授权原则防止滥用并改善合规与安全性。

categories:

• 文章资讯
• 技术教程

---

概述

Permissions Policy（原 Feature Policy）用于声明哪些浏览器特性在当前页面与嵌入内容中可用，以及允许的来源范围。支持通过 HTTP 响应头与 iframe allow 属性进行策略下发与粒度控制。

用法/示例

HTTP 响应头

Permissions-Policy: geolocation=(self), microphone=(), camera=(self "https://trusted.example"), fullscreen=(self "https://partner.example")

iframe 局部策略

<iframe src="/embed" allow="geolocation 'self'; camera https://trusted.example; microphone 'none'"></iframe>

Nginx 配置示例

add_header Permissions-Policy "geolocation=(self), microphone=(), camera=(self)" always;

工程建议

• 默认拒绝非必要特性，仅对可信来源开放。
• 配合 CSP、COOP/COEP 强化整体安全边界。
• 为第三方组件单独设定更严策略，并在上线前进行策略审计与联调验证。

参考与验证

• MDN：Permissions Policy — https://developer.mozilla.org/docs/Web/HTTP/Headers/Permissions-Policy
• W3C 规范：https://w3c.github.io/webappsec-permissions-policy/