--- title: Permissions-Policy:特性治理与最小授权实践 keywords: - Permissions-Policy - Feature Policy - iframe allow - geolocation - camera description: 通过服务器头或 iframe 精确限制特性使用范围,以最小授权原则防止滥用并改善合规与安全性。 categories: - 文章资讯 - 技术教程 --- ## 概述 Permissions Policy(原 Feature Policy)用于声明哪些浏览器特性在当前页面与嵌入内容中可用,以及允许的来源范围。支持通过 HTTP 响应头与 `iframe allow` 属性进行策略下发与粒度控制。 ## 用法/示例 ### HTTP 响应头 ```http Permissions-Policy: geolocation=(self), microphone=(), camera=(self "https://trusted.example"), fullscreen=(self "https://partner.example") ``` ### iframe 局部策略 ```html ``` ### Nginx 配置示例 ```nginx add_header Permissions-Policy "geolocation=(self), microphone=(), camera=(self)" always; ``` ## 工程建议 - 默认拒绝非必要特性,仅对可信来源开放。 - 配合 CSP、COOP/COEP 强化整体安全边界。 - 为第三方组件单独设定更严策略,并在上线前进行策略审计与联调验证。 ## 参考与验证 - MDN:Permissions Policy — https://developer.mozilla.org/docs/Web/HTTP/Headers/Permissions-Policy - W3C 规范:https://w3c.github.io/webappsec-permissions-policy/
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复