Feature Policy: 一个新的安全性的http头部属性

最新推荐文章于 2024-04-17 08:27:20 发布
转载 最新推荐文章于 2024-04-17 08:27:20 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5c66880f51882561f34dc5e4
文章标签:

#java

FeaturePolicy是一种HTTP响应头属性,它允许网站管理员精细控制网站及其嵌入的iframe能够使用哪些浏览器特性和API,如geolocation、camera等,以此增强网站的安全性和保护用户隐私。通过设置Feature-Policy头部,可以指定特定的来源或上下文是否被允许使用这些功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Feature Policy是一个新的http响应头属性,允许一个站点开启或者禁止一些浏览器属性和API,来更好的确保站点的安全性和隐私性。 可以严格的限制站点允许使用的属性是很愉快的,而可以对内嵌在站点中的iframe进行限制则更加增加了站点的安全性。

跟其他http安全响应头的设置一样,只需要敲定页面具体的限制策略,然后在http响应头中返回相应的策略即可:

Feature-Policy: vibrate 'self'; usermedia '*'; sync-xhr 'self' example.com
复制代码

语法

Feature-Policy: <directive> <allowlist>
复制代码
可以同时取多个值
  • *: 在页面和内嵌iframes里面都允许。
  • 'self': 在页面上允许,在内嵌iframes内只允许同源资源使用。
  • 'src': 仅在iframe内生效的属性,只允许iframe内src属性与设置头相同的资源使用。
  • 'none': 在页面和内嵌中全部禁止。
  • <origin(s)>: 允许在特定的origin中使用,多个origins可以用空格隔开。

'*' 和 'none' 单独使用,'self' 和 'src'可以和一个或者多个origins并列使用

允许开启或者禁止的浏览器属性和API列表还没有完全敲定,但目前可以使用的有:

geolocation
midi
notifications
push
sync-xhr
microphone
camera
magnetometer
gyroscope
speaker
vibrate
fullscreen
payment
复制代码

转载于:https://juejin.im/post/5c66880f51882561f34dc5e4

特征策略 Feature Policy(iframe内功能控制)
windrainpy的博客
09-19 1383
背景:最近在开发一些产品经常用到iframe这个古老的标签(由于公司许多产品都存在功能耦合),当被嵌入的站点使用到clipboard api的地方功能无效,还有用到camera microphone 相关api时,刷新后音视频的声音无法自动播放,等等嵌入式使用时的功能无效问题,原来问题的来源是feature policy策略。 概念 Web提供的功能和API如果被滥用,可能会带来隐私或安全风险。在某些情况下,您可能希望严格限制在网站上使用此类功能的方式。 特征策略提供一种机制去声明哪些功能(web api
3个头部企业智能决策支持AI平台案例:架构师拆解其核心设计逻辑
最新发布
AI天才研究院
07-24 760
企业决策面临的挑战日益严峻:数据量呈指数级增长(IDC预测到2025年全球数据圈将增长至175ZB)、业务场景日趋复杂、市场竞争节奏不断加快、用户需求愈发个性化。传统的基于人工经验、小样本数据分析的决策模式,早已难以应对。智能决策支持系统(Intelligent Decision Support System, IDSS)应运而生,它融合了人工智能(AI)、大数据、机器学习(ML)、深度学习(DL)等前沿技术,旨在帮助企业从数据中提取洞察、预测未来趋势、优化资源配置,并最终实现更快速、更精准、更智能的决策。
【什么是特性策略/权限策略(feature policy/Permissions-Policy)?】
Hey_Coder
05-23 4060
特性策略(feature policy/Permissions-Policy)的简介 1. 什么是 特性策略(feature policy/Permissions-Policy)?(设置 对功能的权限) 2. 如何写 一个 feature policy(语法规则)? 3. 如何在使用中 设置特性策略(使用方法)? ⑴ HTTP header 的 Feature-Policy ⑵ iframe 中的 allow 属性 4. 嵌入内容的 策略的继承 5. 需要的显式禁用的特性(为了良好用户体验)
SpringSecurity------Security相关的HTTP响应头(三)
豢龙先生
12-08 1432
SpringSecurity------Security HTTP Response Headers(三)二、Security HTTP Response Headers 二、Security HTTP Response Headers #Security HTTP Response Headers There are many HTTP response headers that can be used to increase the security of web applications. This
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
深圳市多克创新科技有限公司
04-23 796
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应标头)(官方原版)
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 4695
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
功能策略测试工具:Feature Policy Tester DevTools扩展介绍
在本例中,Feature Policy Tester DevTools Extension作为一个工具,主要用于测试和验证网页上的功能策略设置是否正确执行。 知识点四:使用Feature Policy Tester DevTools Extension进行测试 开发者可以通过该...
Nginx 安全加固:配置 HTTP 头部保护
然而,随着互联网安全威胁的不断增加,Web 服务器的安全性变得至关重要。Nginx 作为被广泛使用的 Web 服务器,必须加强安全性以应对各种潜在的威胁和攻击。 ## 1.2 安全加固对网站和应用程序的重要性 通过对 Nginx...
【Chrome 80升级必读】:掌握新版本特性,安全过渡无阻碍
![【Chrome 80升级必读】:掌握新版本特性,安全过渡无阻碍](http://itigic.com/wp-content/uploads/2020/01/chrome-security-8.jpg) ...Chrome 80,作为谷歌Chrome浏览器的一个重大更新,引入了众多重要
移动端浏览器HTML5支持度分析:18248个UA的兼容性实战报告
[移动端浏览器HTML5支持度分析:18248个UA的兼容性实战报告](https://ik.imagekit.io/freshman/screenshot-2019-10-23-14_15_29_QEQ_gKdxC2v.png?tr=w-1000) # 摘要 本文全面分析了HTML5技术在移动端浏览器中的兼容...
Web 安全之 Permissions Policy(权限策略)详解
Innocence_0的博客
04-17 1222
Permissions Policy 为 web开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
JavaScript访问html页面内嵌不同源iframe报错 js: Uncaught SecurityError: Blocked a frame with origin...
tongyi04的博客
07-05 2082
最近遇到一个棘手的bug,App 中有一个网页内嵌了一个iframe,这个iframe一个类似客服机器人聊天窗口的弹出框,嵌在主网页某一个位置,是和主网页不同源的,需要获取iframe中的areatext元素,当用户点击的时候,弹出一个软键盘,供用户输入。 环境: SUSE seld15, QT5.15.0 参考文档: https://javascript.info/cross-window-communication https://developer.mozilla.org/zh-CN/docs/Web
再现隐私之争_反谷歌FLoC联盟: selenium谷歌浏览器报错: Error with Permissions-Policy header
青哥的博客
09-30 1万+
再现隐私之争:反谷歌FLoC联盟问题原因(谷歌FLoC技术)解决谷歌FLoC技术:目的原理潜在风险反谷歌 FLoC 联盟最后 问题 使用selenium操作无头模式(无界面模式)的谷歌浏览器时,控制台报如下错误: "Error with Permissions-Policy header: Unrecognized feature: 'interest-cohort'." 原因(谷歌FLoC技术) 在被谷歌浏览器操纵的目标网页上,出现了响应头:permissions-policy: interest-co
如何在Nginx中配置HTTP安全响应头
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
SecurityError:阻止了具有原点的框架访问跨域框架
w36680130的博客
05-02 4620
I am loading an <iframe> in my HTML page and trying to access the elements within it using Ja
meta标签添加Content-Security-Policy
weixin_43940592的博客
03-04 3139
const head = document.getElementsByTagName('head'); const meta = document.createElement('meta'); meta.httpEquiv = 'Content-Security-Policy'; meta.content = 'upgrade-insecure-requests'; head[0].appendChild(meta);
Spring Security Config : HttpSecurity安全配置器 HeadersConfigurer
Details Inside Spring
06-09 5848
概述 介绍 作为一个配置HttpSecurity的SecurityConfigurer,HeadersConfigurer的配置任务如下 : 配置如下安全过滤器Filter HeaderWriterFilter HeadersConfigurer自己内置定义了一组特定头部的配置类并允许使用者配置,这些配置类每个其实对应一个相应的头部写入器HeaderWriter。除此之外,Headers...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值