1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Permissions-Policy

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Permissions-Policy header

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Der HTTP-Permissions-Policy-Antwort-Header bietet einen Mechanismus, um die Verwendung von Browserfunktionen in einem Dokument oder innerhalb von <iframe>-Elementen im Dokument zu erlauben oder zu verbieten.

Weitere Informationen finden Sie im Hauptartikel zur Permissions Policy.

Header-Typ Antwort-Header

Syntax

http
Permissions-Policy: <directive>=<allowlist>
<directive>

Die Permissions-Policy-Direktive, auf die die allowlist angewendet wird. Siehe Direktiven unten für eine Liste der erlaubten Direktivennamen.

<allowlist>

Eine Allowlist ist eine Liste von Ursprungsadressen, die einen oder mehrere der folgenden in Klammern enthaltenen Werte enthält, getrennt durch Leerzeichen:

* (Platzhalter)

Die Funktion wird in diesem Dokument und allen geschachtelten Browsing-Kontexten (<iframe>s) unabhängig von ihrem Ursprung erlaubt.

() (leere Allowlist)

Die Funktion ist in obersten und geschachtelten Browsing-Kontexten deaktiviert. Das Äquivalent für <iframe>-allow-Attribute ist 'none'.

self

Die Funktion wird in diesem Dokument und in allen geschachtelten Browsing-Kontexten (<iframe>s) nur im gleichen Ursprung erlaubt. Die Funktion ist in Cross-Origin-Dokumenten in geschachtelten Browsing-Kontexten nicht erlaubt. self kann als Abkürzung für https://your-site.example.com betrachtet werden. Das Äquivalent für <iframe>-allow-Attribute ist self.

src

Die Funktion wird in diesem <iframe> erlaubt, solange das darin geladene Dokument aus demselben Ursprung wie die URL im src-Attribut stammt. Dieser Wert wird nur im <iframe>-allow-Attribut verwendet und ist der Standard-allowlist-Wert in <iframe>s.

"<origin>"

Die Funktion ist für spezifische Ursprünge erlaubt (z. B. "https://a.example.com"). Ursprünge sollten durch Leerzeichen getrennt werden. Beachten Sie, dass Ursprünge in <iframe>-allow-Attributen nicht in Anführungszeichen geschrieben werden.

Die Werte * und () dürfen nur alleinstehend verwendet werden, während self und src in Kombination mit einem oder mehreren Ursprüngen verwendet werden können.

Hinweis: Direktiven haben eine Standard-allowlist, die immer eines von *, self oder none für den Permissions-Policy-HTTP-Header ist und das Standardverhalten bestimmt, wenn sie nicht explizit in einer Policy aufgeführt sind. Diese sind auf den individuellen Direktivreferenzseiten angegeben. Für <iframe>-allow-Attribute ist das Standardverhalten immer src.

Wo unterstützt, können Sie Platzhalter in Permissions-Policy-Ursprüngen verwenden. Das bedeutet, dass anstatt explizit mehrere verschiedene Subdomains in einer Allowlist anzugeben, Sie alle in einem einzigen Ursprung mit einem Platzhalter spezifizieren können.

Anstatt also

http
("https://example.com" "https://a.example.com" "https://b.example.com" "https://c.example.com")

können Sie angeben

http
("https://example.com" "https://*.example.com")

Hinweis: "https://*.example.com" entspricht nicht "https://example.com".

Direktiven

accelerometer

Steuert, ob das aktuelle Dokument Informationen über die Beschleunigung des Geräts über die Accelerometer-Schnittstelle sammeln darf.

ambient-light-sensor

Steuert, ob das aktuelle Dokument Informationen über die Lichtmenge in der Umgebung des Geräts über die AmbientLightSensor-Schnittstelle sammeln darf.

aria-notify

Steuert, ob das aktuelle Dokument die ariaNotify()-Methode verwenden darf, um Screenreader-Ankündigungen auszulösen.

attribution-reporting

Steuert, ob das aktuelle Dokument die Attribution Reporting API verwenden darf.

autoplay

Steuert, ob das aktuelle Dokument Medien, die über die HTMLMediaElement-Schnittstelle angefordert werden, automatisch abspielen darf. Wenn diese Policy deaktiviert ist und keine Benutzeraktionen stattfanden, wird das Promise, das von HTMLMediaElement.play() zurückgegeben wird, mit einem NotAllowedError-DOMException abgelehnt. Das Autoplay-Attribut von <audio> und <video>-Elementen wird ignoriert.

bluetooth

Steuert, ob die Nutzung der Web Bluetooth API erlaubt ist. Wenn diese Policy deaktiviert ist, werden die Methoden des Bluetooth-Objekts, das von Navigator.bluetooth zurückgegeben wird, entweder false zurückgeben oder das zurückgegebene Promise mit einem SecurityError-DOMException ablehnen.

browsing-topics

Steuert den Zugriff auf die Topics API. Wenn eine Policy die Verwendung der Topics API explizit untersagt, werden alle Versuche, die Document.browsingTopics()-Methode aufzurufen oder eine Anfrage mit einem Sec-Browsing-Topics-Header zu senden, mit einem NotAllowedError-DOMException fehlschlagen.

camera

Steuert, ob das aktuelle Dokument Videogeräte verwenden darf. Das Promise, das von getUserMedia() zurückgegeben wird, lehnt ab mit einem NotAllowedError-DOMException ab, wenn die Berechtigung nicht erlaubt ist.

captured-surface-control

Steuert, ob das Dokument die Captured Surface Control API verwenden darf. Das von den Hauptmethoden der API zurückgegebene Promise wird mit einem NotAllowedError-DOMException abgelehnt, wenn die Berechtigung nicht erlaubt ist.

compute-pressure

Steuert den Zugriff auf die Compute Pressure API.

cross-origin-isolated

Steuert, ob das aktuelle Dokument als cross-origin isolated behandelt werden kann.

deferred-fetch

Steuert die Zuweisung des fetchLater()-Kontingents des obersten Ursprungs.

deferred-fetch-minimal

Steuert die Zuweisung des gemeinsamen Cross-Origin-Unterrahmen-fetchLater()-Kontingents](/de/docs/Web/API/fetchLater_API/fetchLater_quotas).

display-capture

Steuert, ob das aktuelle Dokument die getDisplayMedia()-Methode verwenden darf, um Bildschirminhalte aufzuzeichnen. Wenn diese Policy deaktiviert ist, lehnt das Promise, das von getDisplayMedia() zurückgegeben wird, mit einem NotAllowedError-DOMException ab, wenn die Erlaubnis, die Bildschirmwiedergabeinhalte aufzuzeichnen, nicht erteilt wurde.

encrypted-media

Steuert, ob das aktuelle Dokument die Encrypted Media Extensions API (EME) verwenden darf. Wenn diese Policy deaktiviert ist, lehnt das Promise, das von Navigator.requestMediaKeySystemAccess() zurückgegeben wird, mit einem SecurityError-DOMException ab.

fullscreen

Steuert, ob das aktuelle Dokument Element.requestFullscreen() verwenden darf. Wenn diese Policy deaktiviert ist, lehnt das zurückgegebene Promise mit einem TypeError ab.

gamepad

Steuert, ob das aktuelle Dokument die Gamepad API verwenden darf. Wenn diese Policy deaktiviert ist, werden Aufrufe an Navigator.getGamepads() einen SecurityError-DOMException auslösen, und die gamepadconnected- und gamepaddisconnected-Ereignisse werden nicht ausgelöst.

geolocation

Steuert, ob das aktuelle Dokument die Geolocation-Schnittstelle verwenden darf. Wenn diese Policy deaktiviert ist, führen Aufrufe von getCurrentPosition() und watchPosition() dazu, dass die Rückruffunktionen dieser Funktionen mit einem GeolocationPositionError-Code PERMISSION_DENIED aufgerufen werden.

gyroscope

Steuert, ob das aktuelle Dokument Informationen über die Orientierung des Geräts über die Gyroscope-Schnittstelle sammeln darf.

hid

Steuert, ob das aktuelle Dokument die WebHID API verwenden darf, um ungewöhnliche menschliche Schnittstellengeräte, wie alternative Tastaturen oder Gamepads, zu verbinden.

identity-credentials-get

Steuert, ob das aktuelle Dokument die Federated Credential Management API (FedCM) verwenden darf.

idle-detection

Steuert, ob das aktuelle Dokument die Idle Detection API verwenden darf, um zu erkennen, wann Benutzer mit ihren Geräten interagieren, zum Beispiel, um den Status in Chat-Anwendungen als "verfügbar"/"abwesend" zu melden.

language-detector

Steuert den Zugriff auf die Sprachenerkennungsfunktionen der Translator and Language Detector APIs.

local-fonts

Steuert, ob das aktuelle Dokument Daten über die lokal installierten Schriftarten des Benutzers über die Methode Window.queryLocalFonts() sammeln darf (siehe auch die Local Font Access API).

magnetometer

Steuert, ob das aktuelle Dokument Informationen über die Orientierung des Geräts über die Magnetometer-Schnittstelle sammeln darf.

microphone

Steuert, ob das aktuelle Dokument Audioeingabegeräte verwenden darf. Wenn diese Policy deaktiviert ist, lehnt das Promise, das von MediaDevices.getUserMedia() zurückgegeben wird, mit einem NotAllowedError-DOMException ab.

midi

Steuert, ob das aktuelle Dokument die Web MIDI API verwenden darf. Wenn diese Policy deaktiviert ist, lehnt das Promise, das von Navigator.requestMIDIAccess() zurückgegeben wird, mit einem SecurityError-DOMException ab.

on-device-speech-recognition

Steuert den Zugriff auf die On-Device-Spracherkennung der Web Speech API.

otp-credentials

Steuert, ob das aktuelle Dokument die WebOTP API verwenden darf, um ein einmaliges Passwort (OTP) aus einer speziell formatierten SMS-Nachricht anzufordern, die vom Server der App gesendet wird, z. B. über navigator.credentials.get({otp: ..., ...}).

payment

Steuert, ob das aktuelle Dokument die Payment Request API verwenden darf. Wenn diese Policy aktiviert ist, wird der PaymentRequest()-Konstruktor einen SecurityError-DOMException werfen.

picture-in-picture

Steuert, ob das aktuelle Dokument ein Video im Bild-in-Bild-Modus über die entsprechende API abspielen darf.

publickey-credentials-create

Steuert, ob das aktuelle Dokument die Web Authentication API verwenden darf, um neue asymmetrische Schlüsselanmeldedaten zu erstellen, z. B. über navigator.credentials.create({publicKey: ..., ...}).

publickey-credentials-get

Steuert, ob das aktuelle Dokument die Web Authentication API verwenden darf, um bereits gespeicherte öffentliche Schlüsselanmeldedaten abzurufen, z. B. über navigator.credentials.get({publicKey: ..., ...}).

screen-wake-lock

Steuert, ob das aktuelle Dokument die Screen Wake Lock API verwenden darf, um anzuzeigen, dass das Gerät den Bildschirm nicht ausschalten oder dimmen soll.

serial

Steuert, ob das aktuelle Dokument die Web Serial API verwenden darf, um mit seriellen Geräten zu kommunizieren, entweder direkt verbunden über einen seriellen Port oder über USB- oder Bluetooth-Geräte, die einen seriellen Port emulieren.

speaker-selection

Steuert, ob das aktuelle Dokument die Audio Output Devices API verwenden darf, um Lautsprecher aufzulisten und auszuwählen.

storage-access

Steuert, ob ein Dokument, das in einem Drittanbieter-Kontext geladen ist (d.h. eingebettet in einem <iframe>), die Storage Access API verwenden darf, um Zugriff auf nicht partitionierte Cookies anzufordern.

translator

Steuert den Zugriff auf die Übersetzungsfunktionen der Translator and Language Detector APIs.

summarizer

Steuert den Zugriff auf die Summarizer API.

usb

Steuert, ob das aktuelle Dokument die WebUSB API verwenden darf.

web-share

Steuert, ob das aktuelle Dokument die Navigator.share() der Web Share API verwenden darf, um Text, Links, Bilder und andere Inhalte an beliebige Ziele der Wahl des Benutzers freizugeben, z.B. mobile Apps.

window-management

Steuert, ob das aktuelle Dokument die Window Management API verwenden darf, um Fenster auf mehreren Bildschirmen zu verwalten.

xr-spatial-tracking

Steuert, ob das aktuelle Dokument die WebXR Device API verwenden darf, um mit einer WebXR-Sitzung zu interagieren.

Beispiele

Grundlegende Verwendung

Permissions-Policy-Header

Um allen Ursprüngen den Zugriff auf Geolocation zu erlauben, würden Sie dies tun:

http
Permissions-Policy: geolocation=*

Oder um den Zugriff auf eine Teilmenge von Ursprüngen zu erlauben, würden Sie dies tun:

http
Permissions-Policy: geolocation=(self "https://a.example.com" "https://b.example.com")

Mehrere Funktionen können gleichzeitig gesteuert werden, indem der Header mit einer durch Komma getrennten Liste von Policies gesendet wird oder indem ein separater Header für jede Policy gesendet wird.

Beispielsweise sind die folgenden äquivalent:

http
Permissions-Policy: picture-in-picture=(), geolocation=(self https://example.com/), camera=*

Permissions-Policy: picture-in-picture=()
Permissions-Policy: geolocation=(self https://example.com/)
Permissions-Policy: camera=*

Iframes

Damit ein <iframe> eine Funktion aktiviert hat, muss der zugelassene Ursprung auch in der Allowlist für die übergeordnete Seite enthalten sein. Aufgrund dieses Vererbungverhaltens ist es eine gute Idee, die breiteste akzeptable Unterstützung für eine Funktion im HTTP-Header anzugeben und dann den Unterbereich der Unterstützung, den Sie in jedem <iframe> benötigen, zu spezifizieren.

Um allen Ursprüngen den Zugriff auf Geolocation zu erlauben, würden Sie dies tun:

html
<iframe src="https://example.com" allow="geolocation *"></iframe>

Um eine Policy auf den aktuellen Ursprung und andere anzuwenden, würden Sie dies tun:

html
<iframe
  src="https://example.com"
  allow="geolocation 'self' https://a.example.com https://b.example.com"></iframe>

Das ist wichtig: Standardmäßig wird eine Policy nicht auf den Ursprung, zu dem das <iframe> navigiert, angewendet, wenn ein <iframe> zu einem anderen Ursprung navigiert. Indem Sie den Ursprung, zu dem das <iframe> navigiert, im allow-Attribut auflisten, wird die ursprünglich auf das <iframe> angewendete Permissions-Policy auf den Ursprung angewendet, zu dem das <iframe> navigiert.

Mehrere Funktionen können gleichzeitig gesteuert werden, indem eine durch Semikolon getrennte Liste von Policy-Direktiven im allow-Attribut einbezogen wird.

html
<iframe
  src="https://example.com"
  allow="geolocation 'self' https://a.example.com https://b.example.com; fullscreen 'none'"></iframe>

Es ist erwähnenswert, dass der src-Wert besonders zu erwähnen ist. Wir haben oben erwähnt, dass bei Verwendung dieses Allowlist-Wertes die zugeordnete Funktion in diesem <iframe> erlaubt wird, solange das darin geladene Dokument vom gleichen Ursprung wie die URL im src-Attribut stammt. Dieser Wert ist der Standard-allowlist-Wert für im allow aufgeführte Funktionen, also sind die folgenden äquivalent:

html
<iframe src="https://example.com" allow="geolocation 'src'"></iframe>
<iframe src="https://example.com" allow="geolocation"></iframe>

Zugriff auf mächtige Funktionen verweigern

SecureCorp Inc. möchte die Mikrofon- (zum Beispiel MediaDevices.getUserMedia()) und Geolocation-APIs in seiner Anwendung deaktivieren. Dies kann durch Verwendung des folgenden Antwort-Headers geschehen:

http
Permissions-Policy: microphone=(), geolocation=()

Durch die Angabe von () für die Ursprungs-Liste werden die angegebenen Funktionen für alle Browsing-Kontexte deaktiviert (dazu gehören alle <iframe>s), unabhängig von ihrem Ursprung.

Kombination von HTTP-Header und <iframe>-Richtlinien

Nehmen wir beispielsweise an, dass wir die Nutzung von Geolocation auf unserem eigenen Ursprung und in eingebetteten Inhalten unseres vertrauenswürdigen Werbenetzwerks aktivieren wollten. Wir könnten die seitenweite Permissions-Policy so einrichten:

http
Permissions-Policy: geolocation=(self https://trusted-ad-network.com)

In unseren Werbe-<iframe>s könnten wir den Zugriff auf den Ursprung https://trusted-ad-network.com wie folgt festlegen:

html
<iframe src="https://trusted-ad-network.com" allow="geolocation"></iframe>

Wenn ein anderer Ursprung in das <iframe> geladen werden würde, hätte dieser keinen Zugriff auf Geolocation:

html
<iframe src="https://rogue-origin-example.com" allow="geolocation"></iframe>

Spezifikationen

Specification
Permissions Policy
# permissions-policy-http-header-field

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden