概述Permissions Policy(原 Feature Policy)用于声明哪些浏览器特性在当前页面与嵌入内容中可用,以及允许的来源范围。支持通过 HTTP 响应头与 `iframe allow` 属性进行策略下发与粒度控制。用法/示例HTTP 响应头Permissions-Policy: geolocation=(self), microphone=(), camera=(self "https://trusted.example"), fullscreen=(self "https://partner.example") iframe 局部策略<iframe src="/embed" allow="geolocation 'self'; camera https://trusted.example; microphone 'none'"></iframe> Nginx 配置示例add_header Permissions-Policy "geolocation=(self), microphone=(), camera=(self)" always; 工程建议默认拒绝非必要特性,仅对可信来源开放。配合 CSP、COOP/COEP 强化整体安全边界。为第三方组件单独设定更严策略,并在上线前进行策略审计与联调验证。参考与验证MDN:Permissions Policy — https://developer.mozilla.org/docs/Web/HTTP/Headers/Permissions-PolicyW3C 规范:https://w3c.github.io/webappsec-permissions-policy/
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复