Feature Policy
Experimental: 这是一个实验中的功能
此功能某些浏览器尚在开发中,请参考浏览器兼容性表格以得到在不同浏览器中适合使用的前缀。由于该功能对应的标准文档可能被重新修订,所以在未来版本的浏览器中该功能的语法和行为可能随之改变。
特征策略允许 web 开发者在浏览器中选择启用、禁用和修改确切特征和 API 的行为。比如内容安全策略,但是它控制的是浏览器的特征非安全行为。
概述
特征策略提供了一种机制去声明哪些功能通过你的网络,是可以被用的(或者不被使用的)。这就允许你通过功能可用性来很好的锁定功能,即使代码很老,或者包含第三方的内容。
有了功能策略,你可以选择一组“策略”,让浏览器强制执行整个网站使用的特定功能。这些策略限制了站点可以访问哪些 api,或者修改浏览器对某些特性的默认行为
使用特性策略可以做什么的示例?:
- 改变手机和第三方视频自动播放的默认行为。
- 限制网站使用敏感的 api,如摄像头或麦克风。
- 允许 iframes 使用全屏 API.
- 阻止使用过时的 api,比如 synchronous XHR 和
document.write(). - 确保图像的大小正确,对于视口来说不会太大。
概念和用法
特性策略允许您在顶级页面和嵌入式框架中控制哪些源可以使用哪些特性。实际上,您编写了一个策略,它是每个特性允许的起源列表。对于由特性策略控制的每个特性,只有当它的起源与允许的起源列表匹配时,该特性才会在当前文档或框架中启用。
对于每个策略控制的功能,浏览器都会维护启用该功能的来源列表,称为允许列表。如果您未为功能指定策略,则将使用默认的允许列表。默认的许可列表特定于每个功能。
编写策略
使用一组单独的策略指令来描述策略。策略指令是已定义功能名称和可以使用该功能的来源的允许列表的组合。
指定策略
功能策略提供了两种方法来指定用于控制功能的策略:
Permissions-PolicyHTTP 报文头。- 在
allowiframes 之上的属性。
HTTP 标头和 allow 属性之间的主要区别在于 allow 属性仅控制 iframe 中的功能。标头控制响应中的功能以及页面内的任何嵌入式内容。
点此链接查看更多详细信息 Using Feature Policy.
策略控制功能的类型
尽管功能策略使用一致的语法提供了对多个功能的控制,但是策略控制功能的行为却有所不同,并取决于多个因素。
一般原则是,Web 开发人员应该有一种直观或不间断的方式来检测或处理禁用该功能的情况。新引入的功能可能具有显示状态的显式 API。稍后与功能策略集成的现有功能通常将使用现有机制。一些方法包括:
- 对于需要用户权限授予的 JavaScript API,返回“权限被拒绝 (permission denied)”.
- 从提供功能访问权限的现有 JavaScript API 返回
false或 error. - 更改控制功能行为的默认值或选项。
当前的一组策略控制功能可分为两大类:
- 实施最佳实践以获得良好的用户体验。
- 提供对敏感或强大功能的精细控制。
良好用户体验的最佳实践
有几种策略控制的功能可帮助实施最佳实践,以提供良好的性能和用户体验。
在大多数情况下,策略控制的功能代表的功能在使用时会对用户体验产生负面影响。为避免破坏现有的 Web 内容,此类策略控制功能的默认设置是允许所有来源使用该功能。然后,通过使用禁用策略控制功能的策略来实施最佳实践。有关更多详细信息,请参见“实施最佳实践以提供良好的用户体验”.
功能包括:
- Layout-inducing 动画
- 传统的图像格式
- 超大号的图片
- 同步脚本
- 同步 XMLHTTPRequest
- 未优化的图像
- 大小不一的媒体
精细控制某些功能
Web 提供的功能和 API 如果被滥用,可能会带来隐私或安全风险。在某些情况下,您可能希望严格限制在网站上使用此类功能的方式。有策略控制的功能,允许针对网站中的特定来源或框架启用/禁用功能。该功能在可用时与 Permissions API 或特定于功能的机制集成在一起,以检查该功能是否可用。
功能包括:
- 加速器
- 环境光源感测器
- 自动播放
- 摄像功能
- 加密媒体信息
- 全屏功能
- 地理定位
- 陀螺仪
- 延迟加载
- 麦克风
- Midi
- 支付请求
- 画中画 (Picture-in-picture)
- 扬声器
- USB
- VR / XR
更多示例
- 点击 Feature Policy Demos 查看更多策略使用方法。