Web 安全之 Permissions Policy（权限策略）详解

什么是 Permissions Policy（权限策略）？

Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用，哪些功能不能在网站上使用的机制。可以设置一组策略，用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践，同时更安全地组合第三方内容。

Permissions Policy 类似于 Content Security Policy（CSP 内容安全策略），但控制的是功能特性，而不是安全行为。

Permissions Policy 以前被称为 Feature Policy，名称已更改了，HTTP header 的语法也随着更改了，所以如果以前使用了 Feature Policy，需要检查下浏览器的支持情况，

常见的 Permissions Policy 权限

以下是常见的 Permissions Policy 示例：

• accelerometer：控制加速计访问的权限。
• autoplay：控制自动播放媒体资源的权限。
• camera：控制摄像头访问的权限。
• geolocation：控制地理位置访问的权限。
• microphone：控制麦克风访问的权限。
• notifications：控制通知访问的权限。
• payment：控制支付访问的权限。
• sync-xhr：控制同步XHR请求的权限。

Permissions Policy 最佳实践

以下是几点使用 Permissions-Policy 的最佳实践：

• 只授权应用程序所需的最低权限，以避免潜在的风险。
• 使用 Permissions-Policy 前，务必进行全面的功能性和兼容性测试，确保不会影响应用程序的正常功能。
• 可以逐步引入和设置 Permissions-Policy，确保安全性的同时减少对现有应用程序的影响。

小结

Permissions Policy 是一种强大而灵活的 Web API 权限控制机制，提供了更精确控制浏览器权限的能力。通过合理设置 Permissions Policy，可以保护用户隐私、提高应用程序的安全性和提供出色的用户体验。关于 Permissions Policy 使用相关的更详细的信息可以参考如下资料：

https://developer.mozilla.org/en-US/docs/Web/HTTP/Permissions_Policy