Permissions-Policy: cross-origin-isolated Richtlinie

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Der HTTP-Permissions-Policy-Header cross-origin-isolated-Direktive kontrolliert, ob das aktuelle Dokument APIs verwenden darf, die cross-origin isolation erfordern.

Insbesondere wenn eine definierte Richtlinie die Nutzung dieses Features blockiert, werden die Eigenschaften Window.crossOriginIsolated und WorkerGlobalScope.crossOriginIsolated immer false zurückgeben, und das Dokument profitiert nicht von den reduzierten Einschränkungen bei der Nutzung einiger APIs, die nur für cross-origin isolierte Dokumente gewährt werden. Dies gilt unabhängig von den Cross-Origin-Embedder-Policy- und Cross-Origin-Opener-Policy-Headern und davon, ob das Dokument cross-origin isoliert gewesen wäre, wenn die Berechtigung erteilt worden wäre.

Die APIs, die diese Berechtigung erfordern, schließen die Nutzung von SharedArrayBuffer-Objekten und Performance.now() mit ungedrosselten Timern ein — siehe Window.crossOriginIsolated für Informationen über andere eingeschränkte APIs.

Die Berechtigung kann verwendet werden, um Einschränkungen für den Zugriff auf die sensiblen APIs aufrechtzuerhalten, es sei denn, sie werden tatsächlich von einem cross-origin isolierten Dokument benötigt. Beachten Sie, dass, wenn das Feature nicht erlaubt ist, es aber ansonsten cross-origin isoliert gewesen wäre, es in jeder anderen Hinsicht immer noch cross-origin isoliert ist. Zum Beispiel wird es nur eine Browsing-Kontextgruppe mit Dokumenten im selben Ursprung teilen.

Syntax

http
Permissions-Policy: cross-origin-isolated=<allowlist>;
<allowlist>

Eine Liste von einem oder mehreren Ursprüngen, für die die Erlaubnis zur Nutzung des Features erteilt wird. Weitere Details finden Sie unter Permissions-Policy > Syntax.

Standardrichtlinie

Die Standard-Whitelist für cross-origin-isolated ist self.

Spezifikationen

Specification
HTML
# cross-origin-isolated-feature

Browser-Kompatibilität

Siehe auch