Knowledge Base

Permissions-Policy: ограничение API браузера

Что контролирует Permissions-Policy

Категория: HTTP · Риск: low

Что контролирует Permissions-Policy

Ограничивает доступ страниц и встроенных iframe к браузерным API.

Синтаксис

Permissions-Policy: feature=(allowlist)

| Значение | Кому разрешено | |----------|---------------| | `()` | Никому | | `(self)` | Только текущему домену | | `(self "https://partner.com")` | Домену и партнёру | | `*` | Всем (по умолчанию для большинства API) |

Рекомендуемый набор

add_header Permissions-Policy "
  geolocation=(),
  microphone=(),
  camera=(),
  payment=(),
  usb=(),
  accelerometer=(),
  gyroscope=(),
  magnetometer=()
" always;

Если нужна геолокация только на своём домене

Permissions-Policy: geolocation=(self), camera=(), microphone=()

Проверка в браузере

DevTools → Application → Permissions Policy (Chrome 100+).