Feature-Policy 退场,欢迎 Permissions-Policy !

Posted by sysin on 2020-09-24
Estimated Reading Time 2 Minutes
Words 507 In Total
更新日期:Thu Sep 24 2020 13:35:00 GMT+0800,阅读量:

请访问原文链接:Feature-Policy 退场,欢迎 Permissions-Policy ! 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


Feature Policy 介绍

Feature Policy 是一个新的 http 响应头属性,允许一个站点开启或者禁止一些浏览器属性和 API,来更好的确保站点的安全性和隐私性。有点类似内容安全策略,但是它控制的是浏览器的特征而不是安全行为.

跟其他 http 安全响应头的设置一样,只需要敲定页面具体的限制策略,然后在 http 响应头中返回相应的策略即可:

1
Feature-Policy: vibrate 'self'; usermedia '*'; sync-xhr 'self' sysin.org

语法

1
Feature-Policy: <feature> <allowlist>

<feature> 允许开启或者禁止的浏览器属性和 API 列表

允许开启或者禁止的浏览器属性和 API 列表还没有完全敲定,比如 Mozilla 可以使用的指令有(see Features list):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Accelerometer
Ambient light sensor
Autoplay
Camera
Encrypted media
Fullscreen
Geolocation
Gyroscope
Magnetometer
Microphone
Midi
PaymentRequest
Picture-in-picture
USB
VR / XR

Feature-Policy 更名为 Permissions-Policy

2020年 7月 16日,W3C 组织发布规范,Feature Policy 正式更名为 Permissions Policy

Permissions Policy

W3C Working Draft, 16 July 2020

Mozilla 官网 Feature Policy 页面也更新了申明,但是具体内容尚未修改同步。

The Feature-Policy header has now been renamed to Permissions-Policy in the spec, and this article will eventually be updated to reflect that change.

9月 7日,知名的 Security Header 检测网站更改测试规则:废弃 Feature Policy (sysin),增加 Permissions Policy 检测。

Goodbye Feature Policy and hello Permissions Policy!

语法变更

原有 Feature-Policy 示例:

1
Feature-Policy: geolocation 'self' https://sysin.org; microphone 'none'

Permissions-Policy 语法变更为:

1
Permissions-Policy: geolocation=(self "https://sysin.org"), microphone=()

例如,本站部署的 Header:

1
"Feature-Policy": "camera 'none'; microphone 'none'"

也相应变更为:

1
"Permissions-Policy": "camera=(), microphonee=()"

捐助本站 ❤️ Donate

点击访问官方网站


文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!

支付宝赞赏 微信赞赏

赞赏一下


☑️ 评论恢复,欢迎留言❗️
敬请注册!点击 “登录” - “用户注册”(已知不支持 21.cn/189.cn 邮箱)。请勿使用联合登录(已关闭)