什么是 Permissions Policy（權限策略）？

Permissions Policy 為 web 開發(fā)人員提供了明確聲明哪些功能可以在網站上使用，哪些功能不能在網站上使用的機制。可以設置一組策略，用于限制站點代碼可以訪問的 API 或者修改瀏覽器對某些特性的默認行為。設置?Permissions-Policy?可以在代碼庫不斷演進的同時強制執(zhí)行最佳實踐，同時更安全地組合第三方內容。

Permissions Policy?類似于?Content Security Policy（CSP 內容安全策略），但控制的是功能特性，而不是安全行為。

Permissions Policy?以前被稱為?Feature Policy，名稱已更改了，HTTP header 的語法也隨著更改了，所以如果以前使用了 Feature Policy，需要檢查下瀏覽器的支持情況，<iframe allow="…"> 語法保持不變。

Permissions Policy 用途

首先看幾個可以使用 Permissions Policy 的場景：

• 開發(fā)者可以限制或禁止對某些敏感 API 的使用，如攝像頭、麥克風、地理位置等，有助于保護用戶的隱私，防止惡意網站濫用這些 API 收集用戶的個人信息。
• 可以限制對某些功能強大但存在潛在風險的 API 的訪問權限，如iframe、Service Worker、Notification等，可以減少惡意攻擊和跨站點腳本等網絡安全威脅。
• 可以用于改善用戶體驗，例如通過禁用一些音視頻自動播放或彈出式廣告等，減少對用戶的干擾。
• 可以提高程序的性能，例如項目在窗口中不可見后，停止相關的腳本執(zhí)行。

如何設置 Permissions Policy

有兩種方式來指定?Permissions Policy:

• 通過在 HTTP 響應頭中添加 Permissions-Policy 字段來實現(xiàn)，可以指定一系列權限，每一個權限指定一個名稱和相關策略。例如，要禁用Web API 的攝像頭訪問權限，添加如下 header 內容：

Permissions-Policy:camera=()

• 通過 <iframe> 的 allow 屬性，控制指定的 <iframe> 中的特性。例如允許 iframe 全屏：

<iframe src="https://example.com..." allow="fullscreen"></iframe>

常見的 Permissions Policy 權限

以下是常見的 Permissions Policy 示例：

• accelerometer：控制加速計訪問的權限。
• autoplay：控制自動播放媒體資源的權限。
• camera：控制攝像頭訪問的權限。
• geolocation：控制地理位置訪問的權限。
• microphone：控制麥克風訪問的權限。
• notifications：控制通知訪問的權限。
• payment：控制支付訪問的權限。
• sync-xhr：控制同步XHR請求的權限。

Permissions Policy 最佳實踐

以下是幾點使用 Permissions-Policy 的最佳實踐：

• 只授權應用程序所需的最低權限，以避免潛在的風險。
• 使用 Permissions-Policy 前，務必進行全面的功能性和兼容性測試，確保不會影響應用程序的正常功能。
• 可以逐步引入和設置 Permissions-Policy，確保安全性的同時減少對現(xiàn)有應用程序的影響。

小結

Permissions Policy 是一種強大而靈活的 Web API 權限控制機制，提供了更精確控制瀏覽器權限的能力。通過合理設置 Permissions Policy，可以保護用戶隱私、提高應用程序的安全性和提供出色的用戶體驗。關于?Permissions Policy 使用相關的更詳細的信息可以參考如下資料：

https://developer.mozilla.org/en-US/docs/Web/HTTP/Permissions_Policy