概述Permissions-Policy 通过响应头为每种浏览器能力声明允许的来源集合(`self`/特定域/`*`/空),从而阻止跨站 iframe 或第三方脚本调用高风险能力(如摄像头、麦克风、地理位置、剪贴板写入)。常用能力(已验证)geolocation、camera、microphone、clipboard-write、fullscreen、payment、idle-detection 等(来源)实施建议缺省拒绝:对强权限能力设置 `=()`(空),仅为受信页面或域名开启细粒度授权:为业务必须的嵌入域设置来源白名单;评估最小集合观测与调试:启用控制台提示与安全报告,定位被阻断的调用示例Permissions-Policy: geolocation=(), camera=(), microphone=(), clipboard-write=(self), fullscreen=(self "https://video.example.com")
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复