--- title: "Permissions-Policy:限制第三方能力与安全治理" keywords: - Permissions-Policy - Feature Policy - 第三方限制 - geolocation - camera description: "介绍 Permissions-Policy 的头部语法与策略设计,限制 iframe/第三方脚本的能力范围,并提供部署与验证建议。" categories: - 文章资讯 - 技术教程 --- 概述 Permissions-Policy(原 Feature Policy)通过响应头限制站点与嵌入内容的能力,如定位、摄像头、麦克风、全屏等,降低第三方脚本风险并提升合规性。 示例与用法 ``` Permissions-Policy: geolocation=(), camera=(), microphone=(self), fullscreen=(self) ``` 工程建议 - 白名单:仅对必要的来源开放能力,其他一律禁止。 - 配置管理:针对不同页面与嵌入场景配置差异化策略;结合 CSP/COOP。 - 验证:通过 DevTools/报表观察被拒绝能力调用;记录异常来源与频率。 参考与验证 - MDN Permissions-Policy 文档:https://developer.mozilla.org/docs/Web/HTTP/Headers/Permissions-Policy - web.dev 指南:https://web.dev/articles/permissions-policy - WHATWG/规范讨论:https://github.com/w3c/webappsec-permissions-policy
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复