Permissions-Policy 特性控制（策略、来源与验证）

概述Permissions-Policy通过HTTP头限制如摄像头、麦克风、地理位置与跨域嵌入的特性。可按来源白名单控制在子帧中的可用性，降低风险并提升合规。关键实践与参数头部声明: `Permissions-Policy: geolocation=(self), camera=(), microphone=()`来源控制: 仅允许特定源使用特性与CSP协同: 同时限制资源来源与执行策略审计: 记录策略拒绝事件示例/配置/实现add_header Permissions-Policy "geolocation=(self), camera=(), microphone=(), fullscreen=(self)" always; import http from 'http' const s = http.createServer((req, res) => { res.setHeader('Permissions-Policy', 'geolocation=(self), camera=(), microphone=()'); res.end('ok') }) s.listen(8080) 验证特性限制: 在子帧中调用被禁用的特性失败来源校验: 仅来自允许来源的子帧能使用特性事件记录: 浏览器控制台与监测记录策略拒绝协同效果: 与CSP与COOP/COEP共同提升安全注意事项精确声明所需与禁止的特性与业务需求协同, 防止误禁用持续审计并收敛策略同步CDN与上游代理的头部设置