什么是 Permissions Policy(权限策略)?
Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。
Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
Permissions Policy 以前被称为 Feature Policy,名称已更改了,HTTP header 的语法也随着更改了,所以如果以前使用了 Feature Policy,需要检查下浏览器的支持情况, 语法保持不变。
Permissions Policy 用途
首先看几个可以使用 Permissions Policy 的场景:
- 开发者可以限制或禁止对某些敏感 API 的使用,如摄像头、麦克风、地理位置等,有助于保护用户的隐私,防止恶意网站滥用这些 API 收集用户的个人信息。
- 可以限制对某些功能强大但存在潜在风险的 API 的访问权限,如iframe、Service Worker、Notification等,可以减少恶意攻击和跨站点脚本等网络安全威胁。
- 可以用于改善用户体验,例如通过禁用一些音视频自动播放或弹出式广告等,减少对用户的干扰。
- 可以提高程序的性能,例如项目在窗口中不可见后,停止相关的脚本执行。
如何设置 Permissions Policy
有两种方式来指定 Permissions Policy:
- 通过在 HTTP 响应头中添加 Permissions-Policy 字段来实现,可以指定一系列权限,每一个权限指定一个名称和相关策略。例如,要禁用Web API 的摄像头访问权限,添加如下 header 内容:
Permissions-Policy:camera=()
- 通过 的 allow 属性,控制指定的 中的特性。例如允许 iframe 全屏:
<iframe src="https://example.com..." allow="fullscreen"></iframe>
常见的 Permissions Policy 权限
以下是常见的 Permissions Policy 示例:
- accelerometer:控制加速计访问的权限。
- autoplay:控制自动播放媒体资源的权限。
- camera:控制摄像头访问的权限。
- geolocation:控制地理位置访问的权限。
- microphone:控制麦克风访问的权限。
- notifications:控制通知访问的权限。
- payment:控制支付访问的权限。
- sync-xhr:控制同步XHR请求的权限。
Permissions Policy 最佳实践
以下是几点使用 Permissions-Policy 的最佳实践:
- 只授权应用程序所需的最低权限,以避免潜在的风险。
- 使用 Permissions-Policy 前,务必进行全面的功能性和兼容性测试,确保不会影响应用程序的正常功能。
- 可以逐步引入和设置 Permissions-Policy,确保安全性的同时减少对现有应用程序的影响。
最后
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
如果你想要入坑黑客&网络安全工程师,这份282G全网最全的网络安全资料包!
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
网络安全源码合集+工具包
视频教程
视频配套资料&国内外网安书籍、文档&工具
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
黑客/网安大礼包:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!
特别声明:
此教程为纯技术分享!本文的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!
1827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
