Web 安全之 Permissions Policy(权限策略)详解

于 2024-05-14 09:39:40 发布
阅读量702 收藏 8
点赞数 26
文章标签: 前端 安全 web安全 网络 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc123489ll/article/details/138839138
版权

什么是 Permissions Policy(权限策略)?

Permissions Policy 为 web
开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API
或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。

Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。

Permissions Policy 以前被称为 Feature Policy,名称已更改了,HTTP header 的语法也随着更改了,所以如果以前使用了
Feature Policy,需要检查下浏览器的支持情况, 语法保持不变。

Permissions Policy 用途

首先看几个可以使用 Permissions Policy 的场景:

  • 开发者可以限制或禁止对某些敏感 API 的使用,如摄像头、麦克风、地理位置等,有助于保护用户的隐私,防止恶意网站滥用这些 API 收集用户的个人信息。
  • 可以限制对某些功能强大但存在潜在风险的 API 的访问权限,如iframe、Service Worker、Notification等,可以减少恶意攻击和跨站点脚本等网络安全威胁。
  • 可以用于改善用户体验,例如通过禁用一些音视频自动播放或弹出式广告等,减少对用户的干扰。
  • 可以提高程序的性能,例如项目在窗口中不可见后,停止相关的脚本执行。

如何设置 Permissions Policy

有两种方式来指定 Permissions Policy:

  • 通过在 HTTP 响应头中添加 Permissions-Policy 字段来实现,可以指定一系列权限,每一个权限指定一个名称和相关策略。例如,要禁用Web API 的摄像头访问权限,添加如下 header 内容:

    Permissions-Policy:camera=()

  • 通过 的 allow 属性,控制指定的 中的特性。例如允许 iframe 全屏:

常见的 Permissions Policy 权限

以下是常见的 Permissions Policy 示例:

  • accelerometer:控制加速计访问的权限。
  • autoplay:控制自动播放媒体资源的权限。
  • camera:控制摄像头访问的权限。
  • geolocation:控制地理位置访问的权限。
  • microphone:控制麦克风访问的权限。
  • notifications:控制通知访问的权限。
  • payment:控制支付访问的权限。
  • sync-xhr:控制同步XHR请求的权限。

Permissions Policy 最佳实践

以下是几点使用 Permissions-Policy 的最佳实践:

  • 只授权应用程序所需的最低权限,以避免潜在的风险。
  • 使用 Permissions-Policy 前,务必进行全面的功能性和兼容性测试,确保不会影响应用程序的正常功能。
  • 可以逐步引入和设置 Permissions-Policy,确保安全性的同时减少对现有应用程序的影响。

小结

Permissions Policy 是一种强大而灵活的 Web API 权限控制机制,提供了更精确控制浏览器权限的能力。通过合理设置
Permissions Policy,可以保护用户隐私、提高应用程序的安全性和提供出色的用户体验。关于 Permissions Policy
使用相关的更详细的信息可以参考如下资料:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Permissions_Policy

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,### 如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)

👉网安(嘿客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

img

👉网安(嘿客红蓝对抗)所有方向的学习路线****👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

img

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述

面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全小张
关注
  • 26
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
React Native模块之Permissions权限申请的实例相机
08-29
React Native 模块之 Permissions 权限申请的实例相机 在 React Native 模块中,Permissions 权限申请是一个非常重要的主题,特别是在 Android 6.0 及其以上版本中。Android 6.0 之后,对权限管理进行了很大的升级...
Django--权限Permissions的例子
09-18
Django是一个流行的Python Web...在实际项目中,根据不同的需求,可以灵活组合和定制这些权限策略,以确保数据的安全性和用户体验。通过深入理解并熟练运用这些权限机制,开发者可以构建出更健壮、更安全Web服务。
Permission Policy的小知识点
weixin_34144450的博客
05-11 465
SharePoint的场管理员可以在管理中心中为Web Application建立Permission Policy. 1. 打开管理中心 2. 点击Policy for Web application   在这里, 你可以选择直接赋予某个用户在这个web application上的权限. 可以指定的权限有: 完全控制 完全可读 拒绝写入 拒绝全部 你还可以点击左侧的Manage Permiss...
Error with Permissions-Policy header: Origin trial controlled feature not enabled: ‘interest-cohort‘
DD_Davis的博客
11-29 5953
排查了一下为什么报警告和405,发现部署的项目还没有加上baseURL。因此,当发起请求时,接口路径直接拼接到了htttps://xx.github.io上,导致报错误和警告。解决:配置环境参数文件并设置baseURL既可以。
Web安全权限策略记录-PPH/CSP/XFO
CoffeeAndIce的博客
12-03 560
本文主要用于介绍遇到的和CSP及XFO内容,针对其实际运用做出记录,如何运用来巧妙限制脚本并保障网站的安全性当然也可以直接搜寻 MDN 来了解更为直观,这里只讨论使用到的内容如果不生效,详情参考对应策略是否于当前测试浏览器中兼容。
django-permissions-policy:在Django应用上设置草稿安全性HTTP标头Permissions-Policy(以前称为Feature-Policy
04-18
django-permissions-policy 在Django应用程序上设置草稿安全性HTTP标头Permissions-Policy (以前为Feature-Policy )。要求支持Python 3.6至3.9。 支持Django 2.2到3.2。 你的考试慢吗? 查看我的《一书,其中涵盖...
PermissionsDispatcher-master使用详解.zip
06-02
PermissionsDispatcher 是一个在Android平台上用于处理运行时权限的库,尤其在Android 6.0(API级别23)及以上版本中变得尤为重要。由于系统引入了运行时权限模型,开发者需要在应用运行时请求用户授予敏感权限,而...
用于验证用户权限的 actix-web 扩展
06-28
actix-web-grants用于验证用户权限的actix-web扩展。要检查用户对特定服务的访问权限,您可以使用内置的proc-macro 、PermissionGuard或手册。该库还可以与第三方解决方案(如actix-web-httpauth )actix-web-...
HTTP 请求头安全方案
qq_35040959的博客
01-13 1860
HTTP 请求头安全方案
Nginx 的相关配置
三年学说话,一生学闭嘴
10-28 1293
下载 生成的配置: nginxconfig.io-example.com.tar.gz 然后 上传 到你的服务器的/etc/nginx 目录. 或, 复制压缩配置的base64字符串,将其粘贴到服务器的命令行并执行。 进入你的 NGINX服务器上的配置目录: cd /etc/nginx 创建当前NGINX配置的备份: tar -czvf nginx_$(date +'%F_%H-%M-%S').tar.gz nginx.conf sites-avail...
再现隐私之争_反谷歌FLoC联盟: selenium谷歌浏览器报错: Error with Permissions-Policy header
青哥的博客
09-30 1万+
再现隐私之争:反谷歌FLoC联盟问题原因(谷歌FLoC技术)解决谷歌FLoC技术:目的原理潜在风险反谷歌 FLoC 联盟最后 问题 使用selenium操作无头模式(无界面模式)的谷歌浏览器时,控制台报如下错误: "Error with Permissions-Policy header: Unrecognized feature: 'interest-cohort'." 原因(谷歌FLoC技术) 在被谷歌浏览器操纵的目标网页上,出现了响应头:permissions-policy: interest-co
【什么是特性策略/权限策略(feature policy/Permissions-Policy)?】
Hey_Coder
05-23 3346
特性策略(feature policy/Permissions-Policy)的简介 1. 什么是 特性策略(feature policy/Permissions-Policy)?(设置 对功能的权限) 2. 如何写 一个 feature policy(语法规则)? 3. 如何在使用中 设置特性策略(使用方法)? ⑴ HTTP header 的 Feature-Policy ⑵ iframe 中的 allow 属性 4. 嵌入内容的 策略的继承 5. 需要的显式禁用的特性(为了良好用户体验)
让谷歌浏览器自动播放音频设置方法
最新发布
qq_39951524的博客
03-21 1764
谷歌浏览器默认是不会自动播放视频的,如何使谷歌浏览器自动播放视频
WebView
qq_62277763的博客
05-23 175
webview的相关知识、、
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
如何在Nginx中配置HTTP安全响应头
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
html自动全屏 meta,HTML <meta> 设置
weixin_34830055的博客
05-31 739
背景今天再看一个html页面源码的时候,发现head标签内部有很多标签,特此记录梳理一下。标签作用 标签是HTML网页源代码中的一个重要的html标签,meta 标签用来描述一额 HTML 网页文档的属性,例如作者、日期和时间、关键词、页面刷新。除此之外, 标签用于搜索引擎优化(SEO)。它位于 HTML 文档中 元素内,虽然它提供的信息用户不可见,但他却是文档最基本的元信息。 标签的属性列举 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值