特征策略 Feature Policy(iframe内功能控制)

最新推荐文章于 2024-05-08 09:50:38 发布
最新推荐文章于 2024-05-08 09:50:38 发布
阅读量1.2k 收藏 2
点赞数 2
分类专栏: 技术视野
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windrainpy/article/details/108678967
版权

背景:最近在开发一些产品经常用到iframe这个古老的标签(由于公司许多产品都存在功能耦合),当被嵌入的站点使用到clipboard api的地方功能无效,还有用到camera microphone 相关api时,刷新后音视频的声音无法自动播放,等等嵌入式使用时的功能无效问题,原来问题的来源是feature policy策略。

概念

  • Web提供的功能和API如果被滥用,可能会带来隐私或安全风险。在某些情况下,您可能希望严格限制在网站上使用此类功能的方式。
  • 特征策略提供一种机制去声明哪些功能(web api)可以使用(或者不能使用),在顶级页面或iframe嵌入式框架中控制哪些(允许列表)可以使用哪些api,借此锁定功能,或限制第三方的内容。
  • 允许针对网站中的特定来源或框架启用/禁用功能。该功能在可用时与Permissions API或特定于功能的机制集成在一起,以检查该功能是否可用.

功能包括

  • 加速器

  • 环境光源感测器

  • 音视频自动播放

  • 摄像功能

  • 麦克风

  • 加密媒体信息

  • 全屏功能

  • 地理位置

  • 陀螺仪

  • 延迟加载

  • Midi

  • 支付请求

  • 画中画(Picture-in-picture)

  • 扬声器

  • USB

  • VR / XR

  • 通过JavaScript api(document.featurePolicy.allowedFeatures())可以枚举全部的功能:

    • [“geolocation”, “midi”, “camera”, “usb”, “autoplay”,…]
最低0.47元/天 解锁文章
高校毕业设计
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Feature Policy: 一个新的安全性的http头部属性
weixin_34024034的博客
02-15 2241
Feature Policy是一个新的http响应头属性,允许一个站点开启或者禁止一些浏览器属性和API,来更好的确保站点的安全性和隐私性。 可以严格的限制站点允许使用的属性是很愉快的,而可以对内嵌在站点中的iframe进行限制则更加增加了站点的安全性。 跟其他http安全响应头的设置一样,只需要敲定页面具体的限制策略,然后在http响应头中返回相应的策略即可: Feature-Policy: v...
【什么是特性策略/权限策略feature policy/Permissions-Policy)?】
Hey_Coder
05-23 3275
特性策略feature policy/Permissions-Policy)的简介 1. 什么是 特性策略feature policy/Permissions-Policy)?(设置 对功能的权限) 2. 如何写 一个 feature policy(语法规则)? 3. 如何在使用中 设置特性策略(使用方法)? ⑴ HTTP header 的 Feature-Policyiframe 中的 allow 属性 4. 嵌入内容的 策略的继承 5. 需要的显式禁用的特性(为了良好用户体验)
Iframe中调用navigator.clipboard.writeText报错Failed to execute ‘writeText‘ on ‘Clipboard‘: The Clipboard
最新发布
BiuBiu_Ka
05-08 537
Feature Policy是一种安全机制,允许网站开发者控制哪些功能可以在自己的页面上以及嵌入的iframe中使用。这些策略可以限制潜在的不安全或敏感的功能,如剪贴板访问、摄像头、地理位置等。其原因是与浏览器的Feature Policy(特性策略)相关。
php iframe referer,Iframe referer policy
weixin_33186395的博客
03-19 506
iframe 中可以通过 referrerpolicy 指定获取指定资源时设置什么样的 referrer。在 iframe 中 referrerpolicy 的取值有:no-referreroriginorigin-when-cross-originunsafe-urlno-referrer-when-downgradeno-referrer表示在访问资源的时候不会带上 referrer 信息...
HTTP之Referrer和Referrer-policy
qq_57289939的博客
02-02 3325
HTTP之Referrer和Referrer-policy
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 4096
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
SpringSecurity------Security相关的HTTP响应头(三)
豢龙先生
12-08 1223
SpringSecurity------Security HTTP Response Headers(三)二、Security HTTP Response Headers 二、Security HTTP Response Headers #Security HTTP Response Headers There are many HTTP response headers that can be used to increase the security of web applications. This
laravel-feature-policy:在Laravel应用中设置功能策略标头
05-24
使用功能策略,您可以控制要在Web应用程序中允许和禁止的Web平台功能。 Feature-Policy是全新的安全标头(例如Content-Security-Policy)。 您可以限制的事情清单还不是最终的,我会在规范发展时及时添加它们。 ...
labview特征匹配Feature Match
02-19
在LabVIEW中,“特征匹配”(Feature Match)是一项强大的图像处理技术,用于识别和比较图像中的特定对象或特征。这项技术在自动化检测、机器视觉和图像分析等领域有着广泛的应用。 特征匹配的基本过程包括以下几个...
oracle primavera unifier 21.12 新特征功能清单
01-07
Unifier 20.12 - 21.12 Release Feature Overview Feature Release Bluebeam Integration Business Processes and the Document Manager can now integrate with the Bluebeam document review and markup platform...
piesai_V4.0.zip_feature fusion_特征融合
07-15
用于特征降维,特征融合,相关分析等,毕业设计有用,用平面波展开法计算二维声子晶体带隙。
CBIR_Shape.rar_feature extraction_形状特征_形状特征提取
07-15
"CBIR_Shape.rar_feature extraction_形状特征_形状特征提取"这个压缩包内容显然是关于利用MATLAB实现的一种特定的特征提取方法——基于HU不变矩的形状特征提取。 HU不变矩是一种经典且强大的图像描述符,它在图像...
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
深圳市多克创新科技有限公司
04-23 627
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
Referer和Referrer Policy及图片防盗链
zxl1990_ok的博客
08-31 1081
如何绕过图片防盗链?隐藏 referer(客户端请求隐藏、设置meta、设置referrerpolicy、利用iframe伪造请求referer、服务器作防盗链图片中转)。实现一个简单的服务器端防盗链
iframe使用
Harrietjia的博客
04-26 2070
Theiframetag allows us to embed content coming from other origins (other sites) into our web page. iframe标签允许我们将来自其他来源(其他网站)的内容嵌入到我们的网页中。 Technically, an iframe creates a new nested browsing context. This means that anything in the iframe does not inte..
QQ浏览器referrerPolicy无效
wrc的专栏
06-03 837
关键词: QQ浏览器 referrerPolicy 无效 不生效 no-referrer 有个需求写个iframe显示其他域名的网页,其他域名的页面也要带上登陆态,但是如果有referer的话,其他域名页面的后台发现有referer,且不是本域名就会报错,所以需要删掉iframe请求的refer头部。 当然也可以后台对特定域名不校验refer。不过这个要后台同事改,不够快捷。 一开始是直接在iframe里加属性referrerPolicy="no-referrer",在chrome是ok的,iframe的请
请求全屏已拒绝,Element.requestFullscreen() 不是从短期运行的用户生成的事件处
dexia7362的博客
12-12 4535
在搞全屏的时候,火狐浏览器报了信息-->请求全屏已拒绝,Element.requestFullscreen() 不是从短期运行的用户生成的事件处 后面发现把debugger去掉就行了。就是全屏事件要短期运行,通过debugger延时的,会导致其执行不了。。。 转载于:https://www.cnblogs.com/guxingzhe/p/10109469.html...
chrome iframe 跨域_Chrome 新的默认 ReferrerPolicy : strictoriginwhencrossorigin
weixin_39819327的博客
11-28 6973
如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。在开始阅读本文之前,如果你不理解site和origin之间的关系,请阅读:同站和同源你理解清楚了么?Referer 标头Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识别访问...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值