1. "Вступление"
  2. Политика функций
  3. Политика разрешений
  4. "Резюме"

вступление

Продолжая мой предыдущий блог о неделе безопасности веб-сайтов, мы поговорим о функциях и разрешениях для веб-сайтов.

Они устанавливаются в качестве заголовков на вашем сайте, когда он обслуживается.

Политика функций

Политика функций была введена несколько лет назад и позволяет вам ограничивать веб-функции, которые может использовать ваш веб-сайт и все, что встроено, включая iframe.

Это помогает защитить ваших пользователей от всего, что не должно быть запущено, и от доступа к любым веб-функциям, которые вы не планировали.

Вот некоторые из наиболее важных функций для включения/отключения:

  • акселерометр
  • камера
  • геолокация
  • гироскоп
  • магнитометр
  • микрофон
  • оплата
  • USB

Полный список можно найти на Modzilla.

Пример использования:

feature-policy: accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'

Допустимые значения:

  • * – разрешает эту функцию на всех сайтах верхнего уровня и во встроенном контенте.
  • self — разрешает эту функцию на всех сайтах верхнего уровня и во встроенном контенте, но не в документах с перекрестным источником во вложенных контекстах.
  • <origin> — разрешает функцию для определенного источника, в этом случае вы должны заменить <origin> на источник, который хотите использовать.
  • none - отключает функцию

Политика разрешений

Политика функций была заменена политикой разрешений с более подходящим названием. Я бы по-прежнему рекомендовал установить оба для поддержки старых браузеров.

Он поддерживает те же функции, что и политика функций, но с немного другим синтаксисом.

В политике функций это будет выглядеть так:

feature-policy: accelerometer 'none'; camera 'self'; geolocation 'self' https://google.com

что переводится как:

permissions-policy: accelerometer=(), camera=(self), geolocation=(self "https://google.com")

Очень просто преобразовать старую политику и немного более приятный синтаксис!

Резюме

Таким образом, очень просто установить два дополнительных заголовка, которые помогут повысить безопасность вашего сайта. Отказ в разрешении на неиспользуемые функции ограничивает риск для ваших пользователей и возможности в случае нарушения каких-либо нежелательных веб-функций.

Установите эти заголовки сейчас!

Счастливого строительства!