Ce este Permissions-Policy?

Controleaza accesul la camera, microfon si alte functii ale browserului

Definiție Permissions-Policy

Permissions-Policy (fost Feature-Policy) este un antet care permite site-ului sa controleze ce functii ale browserului pot fi folosite: camera, microfonul, geolocalizarea, accelerometrul etc. Dezactivarea functiilor neutilizate reduce suprafata de atac si protejeaza intimitatea vizitatorilor.

De ce contează Permissions-Policy

Scripturile publicitare si widget-urile terte pot accesa camera, microfonul, geolocalizarea sau accelerometrul dispozitivului fara ca proprietarul site-ului sa stie. Permissions-Policy (fostul Feature-Policy) permite dezactivarea explicita a acestor API-uri, reducand riscul de supraveghere a utilizatorilor prin cod tert.

Cum verifici Permissions-Policy

SoftAudit analizeaza antetul Permissions-Policy si listeaza API-urile permise versus cele blocate. Verifica daca functii sensibile precum camera, microphone, geolocation si payment sunt restrictionate la originea proprie sau dezactivate complet.

Greșeli frecvente

Blocarea tuturor API-urilor cu Permissions-Policy: *=() poate defecta functionalitati legitime — de exemplu, widget-urile de chat live care necesita acces la microfon. O eroare tehnica frecventa este confuzia intre sintaxa veche Feature-Policy si formatul nou Permissions-Policy, care difera semnificativ.

Bune practici

Dezactiveaza explicit API-urile pe care site-ul tau nu le foloseste: camera=(), microphone=(), geolocation=(), payment=(). Pentru functiile necesare, restrictioneaza accesul la originea proprie: camera=(self) si testeaza periodic ca politica nu blocheza interactiunile esentiale.