Permissions-Policy特性权限治理

--- title: Permissions-Policy特性权限治理 keywords: ["Permissions-Policy", "特性权限", "浏览器策略", "嵌入", "隐私"] description: 使用 Permissions-Policy 控制页面与嵌入内容的特性权限，降低滥用与隐私风险，构建可审计的安全基线。 categories: - 文章资讯 - 技术教程 --- # Permissions-Policy特性权限治理 ## 概览 - 通过响应头限制摄像头、麦克风、地理位置等特性在自身与 iframe 的可用性；结合 CSP 与 COOP/COEP 完整治理。 ## 技术参数（已验证） - 语法：`Permissions-Policy: geolocation=(self), microphone=(), camera=(), interest-cohort=()`；按特性列举允许来源。 - 作用域：影响顶层与嵌入内容；与 `allow` 属性协同控制。 - 兼容与变更：不同浏览器支持差异；维护策略清单与回退。 - 审计与观测：记录策略命中与违规；在可观测平台聚合分析。 - 安全与隐私：禁用不必要特性；保护指纹与追踪风险。 ## 实战清单 - 为所有页面设置最小权限策略；在业务需求下按页面/嵌入放行。 - 与 CSP/COOP/COEP 协同；文档化策略变更与审计。 - 在发布前测试支持与影响；持续优化。