"Permissions-Policy：限制第三方能力与安全治理"

---

title: "Permissions-Policy：限制第三方能力与安全治理"

keywords:

• Permissions-Policy
• Feature Policy
• 第三方限制
• geolocation
• camera

description: "介绍 Permissions-Policy 的头部语法与策略设计，限制 iframe/第三方脚本的能力范围，并提供部署与验证建议。"

categories:

• 文章资讯
• 技术教程

---

概述

Permissions-Policy（原 Feature Policy）通过响应头限制站点与嵌入内容的能力，如定位、摄像头、麦克风、全屏等，降低第三方脚本风险并提升合规性。

示例与用法

Permissions-Policy: geolocation=(), camera=(), microphone=(self), fullscreen=(self)

工程建议

• 白名单：仅对必要的来源开放能力，其他一律禁止。
• 配置管理：针对不同页面与嵌入场景配置差异化策略；结合 CSP/COOP。
• 验证：通过 DevTools/报表观察被拒绝能力调用；记录异常来源与频率。

参考与验证

• MDN Permissions-Policy 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Permissions-Policy
• web.dev 指南：https://web.dev/articles/permissions-policy
• WHATWG/规范讨论：https://github.com/w3c/webappsec-permissions-policy