Permissions-Policy

Bietet einen Mechanismus zum Zulassen
und Verweigern der Verwendung von Browserfunktionen
im eigenen Frame einer Website und in <iframe>s, die sie einbettet.

Permissions-Policy-Header-Generator auf permissionspolicy.com

Der Permissions-Policy-Header hieß früher Feature-Policy und wurde im Mai 2020 umbenannt.

Feature-Policy   geolocation 'self'

In anderen Fällen kann es sinnvoll sein, diese Richtlinie etwas zu lockern.
Wir können unserem eigenen Ursprung erlauben, die Geolokalisierungs-API zu verwenden,
aber verhindern, dass Inhalte von Drittanbietern darauf zugreifen,
indem wir Folgendes in der Zulassungsliste festlegen 'self':

Permissions-Policy   publickey-credentials-get=("https://example.com")

Wenn Sie eine genauere Kontrolle wünschen, können Sie bestimmte URLs auf die Whitelist setzen, die die Website des RP einbetten dürfen:
Dabei https://example.com handelt es sich um die URL der Seite, die die Website des RP in die einbettet <iframe>

Permissions-Policy   fullscreen=(), geolocation=()

Permissions-Policy   geolocation=(self "https://example.com")

Dieser Header steuert, ob der Referrer-Wert bei ausgehenden Links übergeben werden darf.
Das heißt, darf der Browser einer Seite mitteilen, von welcher Seite der Benutzer gekommen ist.
Mit dem Wert »no-referrer« verbietet man das komplett.
Dieser Header ist nicht direkt für die »Sicherheit« der Website verantwortlich
aber in Bezug auf den Datenschutz schon interessant.

Permissions-Policy   FEATURE ORIGIN; FEATURE ORIGIN

Permissions-Policy   microphone=(), camera=()

Es gibt drei Optionen für die zulässigen ORIGINs jedes Features.

Permissions-Policy   microphone=(*)

(Mikrofon wird auf dieser Seite und allen gerahmten Seiten erlaubt)

Permissions-Policy   microphone=(self)

(Mikrofon wird auf dieser Seite und allen gerahmten Seiten erlaubt, wenn gleicher Ursprung)

Permissions-Policy   microphone=()

(Mikrofon wird auf dieser Seite und allen gerahmten Seiten nicht zugelassen)

Beispiel: Permissions-Policy   geolocation=self "https://domain.eu" "https://domain.eu:55555" "https://juergen.domain.eu" "https://localmail.domain.eu"

Permissions-Policy   geolocation=(self "https://domain.eu" "https://juergen.domain.eu" "https://localmail.domain.eu")

Permissions-Policy   geolocation=(self "https://domain.eu"), microphone=()

* Die Funktion ist in diesem Dokument und in allen verschachtelten
Browserkontexten unabhängig von ihrem Ursprung zulässig.<iframe>

() (leere Zulassungsliste):
Die Funktion ist in Browserkontexten der obersten Ebene
und in verschachtelten Browserkontexten deaktiviert.
Das Äquivalent für Attribute ist .<iframe>allow'none'

self
Die Funktion ist nur in diesem Dokument
und in allen verschachtelten Browserkontexten desselben Ursprungs zulässig.
Die Funktion ist in ursprungsübergreifenden Dokumenten
in verschachtelten Browserkontexten nicht zulässig.
kann als Abkürzung für angesehen werden.
Das Äquivalent für Attribute ist.
<iframe>selfhttps://your-site.example.com<iframe>allowself

src
Die Funktion ist in diesem zulässig,
solange das darin geladene Dokument vom gleichen Ursprung stammt
wie die URL in seinem src-Attribut.
Dieser Wert wird nur im Attribut verwendet
und ist der Standardwert in s.
<iframe><iframe>allowallowlist<iframe>

origin
Die Funktion ist für bestimmte Ursprünge zulässig (z. B. ).
Ursprünge sollten durch Leerzeichen getrennt werden.
Beachten Sie, dass Ursprünge in allow-Attributen
nicht in Anführungszeichen gesetzt werden
https://a.example.com"<iframe>.

HTTP-Antwortheader