【Web安全】Permissions Policy(权限策略)详解

已于 2025-01-10 21:40:34 修改
阅读量893 收藏 29
点赞数 8
分类专栏: 计算机工具 网络安全 程序员 文章标签: web安全 安全 人工智能 服务器 机器学习 运维 python
于 2025-01-04 16:33:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/logic1001/article/details/144931774
版权
什么是 Permissions Policy(权限策略)?

Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。

Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。

Permissions Policy 以前被称为 Feature Policy,名称已更改了,HTTP header 的语法也随着更改了,所以如果以前使用了 Feature Policy,需要检查下浏览器的支持情况, 语法保持不变。

Permissions Policy 用途

首先看几个可以使用 Permissions Policy 的场景:

  • 开发者可以限制或禁止对某些敏感 API 的使用,如摄像头、麦克风、地理位置等,有助于保护用户的隐私,防止恶意网站滥用这些 API 收集用户的个人信息。
  • 可以限制对某些功能强大但存在潜在风险的 API 的访问权限,如iframe、Service Worker、Notification等,可以减少恶意攻击和跨站点脚本等网络安全威胁。
  • 可以用于改善用户体验,例如通过禁用一些音视频自动播放或弹出式广告等,减少对用户的干扰。
  • 可以提高程序的性能,例如项目在窗口中不可见后,停止相关的脚本执行。
如何设置 Permissions Policy

有两种方式来指定 Permissions Policy:

  • 通过在 HTTP 响应头中添加 Permissions-Policy 字段来实现,可以指定一系列权限,每一个权限指定一个名称和相关策略。例如,要禁用Web API 的摄像头访问权限,添加如下 header 内容:
Permissions-Policy:camera=()
  • 通过 的 allow 属性,控制指定的 中的特性。例如允许 iframe 全屏:
<iframe src="https://example.com..." allow="fullscreen"></iframe>
常见的 Permissions Policy 权限

以下是常见的 Permissions Policy 示例:

  • accelerometer:控制加速计访问的权限。
  • autoplay:控制自动播放媒体资源的权限。
  • camera:控制摄像头访问的权限。
  • geolocation:控制地理位置访问的权限。
  • microphone:控制麦克风访问的权限。
  • notifications:控制通知访问的权限。
  • payment:控制支付访问的权限。
  • sync-xhr:控制同步XHR请求的权限。
Permissions Policy 最佳实践

以下是几点使用 Permissions-Policy 的最佳实践:

  • 只授权应用程序所需的最低权限,以避免潜在的风险。
  • 使用 Permissions-Policy 前,务必进行全面的功能性和兼容性测试,确保不会影响应用程序的正常功能。
  • 可以逐步引入和设置 Permissions-Policy,确保安全性的同时减少对现有应用程序的影响。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

大数据环境下数据仓库的安全防护与权限管理
AI天才研究院
05-17 848
随着企业数据量从TB级向EB级跃迁,数据仓库(如Hive、Spark SQL、AWS Redshift)已成为支撑BI分析、AI训练的核心基础设施。然而,大数据环境的分布式特性(多节点、跨集群)、数据多样性(结构化/非结构化)及用户角色复杂性(分析师、业务方、第三方),使得传统数据库的安全防护体系(如简单角色权限)难以应对。本文聚焦大数据环境下数据仓库的安全防护与权限管理,覆盖从数据静态存储到动态使用的全流程安全控制,旨在为企业提供可落地的技术方案。
webRTC与webSocket接入智谱视频通话API避坑指南
qq_60724861的博客
10-09 866
先看效果:智谱新上线的音视频通话大模型拥有理解音频和画面的能力,接入该api,需要使用webSocket协议不断传输音频和视频的base64编码。WebRTC(Web Real-Time Communication)是一个支持网页浏览器进行实时语音对话或视频对话的技术,webRTC最强大的功能是无需服务器,可以实现浏览器端对端的音视频通话,这里只使用了webRTC实现视频画面显示。这里就详细说一下从开发到跑起这个demo踩的一些不得不说的血泪坑。
日志分析工具-应急响应实战笔记
最新发布
jihaichen的博客
10-23 1028
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、 CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2394
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
路由器后面再接一个路由器怎么设置(二级路由)
weixin_34032792的博客
12-23 4780
路由器后面再接一个路由器怎么设置(二级路由) 总结: 这种设置方法二级路由是在同一个vlan里面的,也就是在同一个局域网里面。   我们在日常上网中有时会遇到这样的问题:A房间有一无线路由器,B房间到A房间有七八十米,我们要在B房间再用手机上无线网的时候信号可能就不好了,中间又有墙,哪么应该怎么办呢?呵呵,其实很简单在B屋加个无线路由用网线接到A就可以了,其实路由后再接路由...
应急响应-日志分析工具
wuqingsix的博客
02-16 819
1、Web - 360星图(IIS/Apache/Nginx)--缺点:支持较少。4、Web -机器语言(任何自定义日志格式字符串)--- 不提示相关安全问题。2、Web - GoAccess(任何自定义日志格式字符串)并自动打包,将收集的文件上传观星平台即可自动分析。3、Web - 自写脚本(任何自定义日志格式字符串)稍微好。4、大型日志分析项目 :elK(见后续)
AWVS最新版v24.5.14中文坡解版附详细下载安装教程
logic1001的博客
09-13 5786
Acunetix 高级版 v24.4 提供了一套全面、高效且易于集成的 Web 应用程序安全测试解决方案,适用于日常发现 Web 应用程序的安全性。获取方式:后台回复【AWVS】获取下载链接。
PyPI 官网下载 | django-permissions-policy-4.6.0.tar.gz
02-10
综上所述,`django-permissions-policy`是Django生态中的一个重要组件,它专注于权限策略,帮助开发者构建更安全、可控的Web应用。通过PyPI下载并使用这个库,可以简化权限管理的复杂性,提升应用的安全性和可维护性...
单点登录与权限管理详解:OpenBMC WEBUI用户认证机制
![单点登录与权限管理详解:...本文从OpenBMC WEBUI用户认证机制的基础讲起,深入探讨了单点登录技术的实现方式、架构设计以及在WEBUI中的应用,并对权限控制的策略、模型和配置进行了详细阐述。同时,本文还分析了O
Zope Component安全机制详解:保护组件免受恶意操作的10大策略
Zope的安全模型强调最小权限原则,即默认情况下组件不应具有任何权限,只有在明确授权的情况下才赋予特定功能的访问权限。组件安全的角色和权限定义了一套细粒度的控制机制,允许管理员和开发者精确地控制各
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
应急响应—日志分析工具
剁椒鱼头没剁椒的博客
11-02 1718
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
DIIRC重磅发布:2024大模型行业应用十大典范案例集
weixin_59191169的博客
06-13 1086
6月5日,由数字产业创新研究中心主办,锦囊专家、首席数字官承办,中国软件行业协会CIO分会、中关村天使投资联盟协办的“2024中国数字企业峰会–成果发布日”成功于线上举办。《2024大模型行业应用十大典范案例集》在百余位行业专家、业内同仁的云端见证下重磅发布。评委会专家针对典型性、实效性、创新性、复杂性和推广性5个维度,对候选案例进行评估,分别择优10个入选编入《2024大模型行业应用十大典范案例集》,本案例集汇集了文化、医药、IT、钢铁、航空、企业服务等行业在大模型应用领域的典范案例。
2024大模型行业应用十大典范案例集(非常详细)零基础入门到精通,收藏这一篇就够了
Python_0011的博客
07-03 1470
报告正文《2024 DIIRC大模型行业应用十大典范案例集》为我们展示了十家行业先锋如何利用大模型技术,优化业务流程,提升服务体验,推动产业创新。这些案例不仅彰显了技术的力量,更指引了未来数字化转型的方向。
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 2034
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
Windows 防火墙入站和出站
零一魔法
03-20 2281
出站是从本地计算机访问外部网络,例如浏览器发起请求访问网站 - 零一居入站是从外部网络访问本地计算机,例如使用localsend将文件从手机(外部网络)传送到本地计算机。
应急响应之日志分析专题
weixin_51339377的博客
06-01 839
应急响应之日志分析专题
应急响应基础:日志分析工具Log Parser与login工具使用详解
gitblog_06583的博客
09-20 783
应急响应基础:日志分析工具Log Parser与login工具使用详解 项目地址:https://gitcode.com/Resource-Bundle-Collection/6525e 简介 本资源文件详细介绍了Log Parser这款微软的日志分析工具,包括其功能、下载、安装步骤、配置环境变量的过程,并展示了如何配合login工具进行日志分析和结果查看。文章适合对日志分析感兴趣的读者,特别是涉...
【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等
今天是几号的博客
05-03 3357
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值