- "Вступление"
- Политика функций
- Политика разрешений
- "Резюме"
вступление
Продолжая мой предыдущий блог о неделе безопасности веб-сайтов, мы поговорим о функциях и разрешениях для веб-сайтов.
Они устанавливаются в качестве заголовков на вашем сайте, когда он обслуживается.
Политика функций
Политика функций была введена несколько лет назад и позволяет вам ограничивать веб-функции, которые может использовать ваш веб-сайт и все, что встроено, включая iframe.
Это помогает защитить ваших пользователей от всего, что не должно быть запущено, и от доступа к любым веб-функциям, которые вы не планировали.
Вот некоторые из наиболее важных функций для включения/отключения:
- акселерометр
- камера
- геолокация
- гироскоп
- магнитометр
- микрофон
- оплата
- USB
Полный список можно найти на Modzilla.
Пример использования:
feature-policy: accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'
Допустимые значения:
*
– разрешает эту функцию на всех сайтах верхнего уровня и во встроенном контенте.self
— разрешает эту функцию на всех сайтах верхнего уровня и во встроенном контенте, но не в документах с перекрестным источником во вложенных контекстах.<origin>
— разрешает функцию для определенного источника, в этом случае вы должны заменить<origin>
на источник, который хотите использовать.none
- отключает функцию
Политика разрешений
Политика функций была заменена политикой разрешений с более подходящим названием. Я бы по-прежнему рекомендовал установить оба для поддержки старых браузеров.
Он поддерживает те же функции, что и политика функций, но с немного другим синтаксисом.
В политике функций это будет выглядеть так:
feature-policy: accelerometer 'none'; camera 'self'; geolocation 'self' https://google.com
что переводится как:
permissions-policy: accelerometer=(), camera=(self), geolocation=(self "https://google.com")
Очень просто преобразовать старую политику и немного более приятный синтаксис!
Резюме
Таким образом, очень просто установить два дополнительных заголовка, которые помогут повысить безопасность вашего сайта. Отказ в разрешении на неиспользуемые функции ограничивает риск для ваших пользователей и возможности в случае нарушения каких-либо нежелательных веб-функций.
Установите эти заголовки сейчас!
Счастливого строительства!