Feature-Policy
O cabeçalho HTTP Feature-Policy provê um mecanismo para permitir ou proibir o uso de funcionalidades do navegador no seu próprio enquadramento, e o conteúdo dentro de quaisquer elementos <iframe> no documento.
Nota: Este cabeçalho ainda está em estado experimental, e é sujeito a mudança a qualquer momento. Tenha cautela quando implementando isso no seu site. O cabeçalho agora foi renomeado para Permissions-Policy na especificação, e este artigo irá eventualmente ser atualizado para refletir estas atualizações.
Para mais informação, veja o artigo principal Policy Feature.
| Tipo de cabeçalho | Response header |
|---|---|
| Forbidden header name | sim |
Sintaxe
Feature-Policy: <directive> <allowlist>
<directive>-
A diretiva Feature Policy que irá aplicar a
allowlist. Veja Diretivas abaixo para a lista de nomes de diretivas. <allowlist>- {{page("Web/HTTP/Feature_Policy/Using_Feature_Policy", "allowlist")}}
Diretivas
accelerometer-
Controla se o documento atual é permitido de coletar informação sobre a aceleração do dispositivo através da interface
Accelerometer. ambient-light-sensor-
Controla se o documento atual é permitido de coletar informação sobre a quantidade de luz no ambiente ao redor do dispositivo através da interface
AmbientLightSensor. autoplay-
Controla se o documento atual é permitido de tocar a mídia requisitada automaticamente através da interface
HTMLMediaElement. Quando esta política é desabilitada e não há ação do usuário, oPromiseretornado peloHTMLMediaElement.play()irá rejeitar com umaDOMException. O atributo autoplay em elementos<audio>e<video>será ignorado. battery-
Controla se o uso da API de Status de Bateria é permitido. Quando esta política está desabilitada, o
Promiseretornado peloNavigator.getBattery()irá rejeitar com umNotAllowedErrorDOMException. camera-
Controla se o documento atual é permitido de usar entradas de dispositivos de vídeo. Quando esta política está desabilitada, o
Promiseretornado pelogetUserMedia()irá rejeitar com umNotAllowedErrorDOMException. display-capture-
Controla se o documento atual é permitido ou não de usar o método
getDisplayMedia()para capturar conteúdos de tela. Quando esta política está desabilitada, aPromiseretornada pelogetDisplayMedia()irá rejeitar com umNotAllowedErrorse a permissão não for obtida para capturar os conteúdos da tela. document-domain-
Controle se o documento atual é permitido de colocar
document.domain. Quando esta política está desabilitada, tentativas em colocardocument.domainirão falhar e causar umaSecurityErrorDOMExceptiona ser jogada. encrypted-media-
Controla se o documento atual é permitido de usar a API Extensões de Mídias Encriptadas (Encrypted Media Extensions) (EME). Quando esta política é desabilitada, a
Promiseretornada peloNavigator.requestMediaKeySystemAccess()irá rejeitar com umDOMException. execution-while-not-rendered-
Controla se as tarefas devem ser executadas em enquadramentos enquanto não são renderizados (e.g. se um enquadramento é
hiddenoudisplay: none). execution-while-out-of-viewport-
Controla se as tarefas devem ser executadas em enquadramentos enquanto eles estão fora da janela de visualização visível.
fullscreen-
Controla se o documento atual é permitido de usar
Element.requestFullScreen(). Quando esta política está desabilitada, aPromiseretornada rejeita com umTypeErrorDOMException. geolocation-
Controla se o documento atual é permitido de usar a interface
Geolocation. Quando a política está desabilitada, chamadas paragetCurrentPosition()ewatchPosition()irão causar aos callbacks da funções serem invocados com umPositionErrordePERMISSION_DENIED. gyroscope-
Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interface
Gyroscope. layout-animations-
Controla se o documento atual é permitido de mostrar animações de layout.
legacy-image-formats-
Controla se o documento atual é permitido de mostrar imagens em formatos legados.
magnetometer-
Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interface
Magnetometer. microphone-
Controla se o documento atual é permitido de usar entradas de dispositivos de áudio. Quando esta política está desabilitada, a
Promiseretornada peloMediaDevices.getUserMedia()irá rejeitar com umNotAllowedError. midi-
Controla se o documento atual é permitido de usar a API Web MIDI. Quando esta política está desabilitada, a
Promiseretornada peloNavigator.requestMIDIAccess()irá rejeitar com umDOMException. -
Controla a disponibilidade de mecanismos que habilitam o autor da página a tomar controle sobre o comportamento da navegação espacial (spatial navigation), ou cancelar completamente.
oversized-images-
Controla se o documento atual é permitido de baixar e mostrar imagens grandes.
payment-
Controla se o documento atual permite o uso da API de Requisição de Pagamento (Payment Request API). Quando esta política está desabilitada, o construtor
PaymentRequest()irá jogar umSecurityErrorDOMException. picture-in-picture-
Controla se o documento atual permite que um vídeo seja permitido tocar no modo Picture-in-Picture através da API correspondente.
publickey-credentials-get-
Controla se o documento atual é permitido de usar a API de Autenticação Web para resgatar credenciais de chave pública já guardadas, i.e. através do
navigator.credentials.get({publicKey: ..., ...}). sync-xhr-
Controla se o documento atual é permitido de fazer requisições síncronas
XMLHttpRequest. usb-
Controla se o documento atual é permitido de usar a API WebUSB.
vrDeprecated-
Controla se o documento atual é permitido de usar a API WebVR. Quando esta política é desabilitada, o
Promiseretornado peloNavigator.getVRDisplays()irá rejeitar com umDOMException. Tenha em mente que o padrão WebVR está em processo de ser substituído pelo WebXR. wake-lock-
Controla se o documento atual é permitido de usar a API Wake Lock para indicar que o dispositivo não deve entrar em modo de economia de energia.
screen-wake-lock-
Controla se o documento atual é permitido de utilizar a API Screen Wake Lock para indicar se o dispositivo deve ou não escurecer a tela.
xr-spatial-tracking-
Controla se o documento atual é permitido ou não de usar a API WebXR Device para intergir com a sessão WebXR.
Exemplos
SecureCorp Inc. quer desabilitar o Microfone e as APIs de Geolocalização em sua aplicação. Isso pode ser feito entregando o seguinte cabeçalho de resposta HTTP para definir a política de funcionalidade:
Feature-Policy: microphone 'none'; geolocation 'none'
Especificando a palavra-chave 'none' para a lista de origem, as funcionalidades especificadas serão desabilitadas para todos os contextos de navegaçnao (incluindo todos os iframes), independente da origem.
Especificações
| Specification |
|---|
| Permissions Policy # permissions-policy-http-header-field |
Compatibilidade com navegadores
BCD tables only load in the browser