1. 首页
  2. 文章资讯
  3. 编程技术

Permissions-Policy 实战:限制强权限与跨站滥用

YBB 7 阅读 0 评论

---

title: Permissions-Policy 实战:限制强权限与跨站滥用

keywords:

  • Permissions-Policy
  • Feature-Policy
  • geolocation
  • camera/microphone
  • clipboard-write

description: 总结 Permissions-Policy(原 Feature-Policy)的配置方法与场景实践,限制强权限与可被滥用的浏览器能力,降低第三方与嵌入内容的风险。

date: 2025-11-26

sources:

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Permissions-Policy
  • https://www.w3.org/TR/permissions-policy-1/
  • https://web.dev/permissions-policy/

categories:

  • 文章资讯
  • 技术教程

---

概述

Permissions-Policy 通过响应头为每种浏览器能力声明允许的来源集合(self/特定域/*/空),从而阻止跨站 iframe 或第三方脚本调用高风险能力(如摄像头、麦克风、地理位置、剪贴板写入)。

常用能力(已验证)

  • geolocation、camera、microphone、clipboard-write、fullscreen、payment、idle-detection 等(来源)

实施建议

  • 缺省拒绝:对强权限能力设置 =()(空),仅为受信页面或域名开启
  • 细粒度授权:为业务必须的嵌入域设置来源白名单;评估最小集合
  • 观测与调试:启用控制台提示与安全报告,定位被阻断的调用

示例

Permissions-Policy: geolocation=(), camera=(), microphone=(), clipboard-write=(self), fullscreen=(self "https://video.example.com")

点赞(0) 打赏
自动化部署流程实践指南
自动化部署流程实践指南
前端性能优化实战指南
前端性能优化实战指南
InfluxDB 与 Windows:完整指南
InfluxDB 与 Windows:完整指南
CMS 内容发布系统使用指南
CMS 内容发布系统使用指南

评论列表 共有 0 条评论

暂无评论
立即
投稿

微信公众账号

微信扫一扫加关注

 发表
评论 返回
顶部