Permissions-Policy: cross-origin-isolated

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Der HTTP Permissions-Policy Header cross-origin-isolated Direktive steuert, ob das aktuelle Dokument APIs verwenden darf, die eine Cross-Origin-Isolation erfordern.

Konkret gilt: Wenn eine definierte Richtlinie die Nutzung dieses Features blockiert, werden die Eigenschaften Window.crossOriginIsolated und WorkerGlobalScope.crossOriginIsolated immer false zurückgeben, und das Dokument wird nicht von reduzierten Beschränkungen bei der Nutzung einiger APIs profitieren, die nur Cross-Origin-isolierten Dokumenten gewährt werden. Dies gilt unabhängig von den Cross-Origin-Embedder-Policy und Cross-Origin-Opener-Policy Headern und davon, ob das Dokument Cross-Origin-isoliert gewesen wäre, wenn die Erlaubnis erteilt worden wäre.

APIs, die diese Erlaubnis erfordern, umfassen die Verwendung von SharedArrayBuffer Objekten und Performance.now() mit ungedrosselten Timern — siehe Window.crossOriginIsolated für Informationen über weitere eingeschränkte APIs.

Die Erlaubnis kann verwendet werden, um Beschränkungen auf den Zugriff auf die sensiblen APIs aufrechtzuerhalten, es sei denn, sie werden tatsächlich von einem Cross-Origin-isolierten Dokument benötigt. Beachten Sie, dass, wenn das Feature nicht erlaubt ist, es ansonsten cross-origin-isoliert gewesen wäre; in jeder sonstigen Hinsicht bleibt es dennoch cross-origin-isoliert. Zum Beispiel wird es nur eine Browsing-Context-Gruppe mit Dokumenten desselben Ursprungs teilen.

Syntax

http
Permissions-Policy: cross-origin-isolated=<allowlist>;
<allowlist>

Eine Liste von einem oder mehreren Ursprüngen, für die die Erlaubnis zur Nutzung des Features erteilt wird. Siehe Permissions-Policy > Syntax für weitere Details.

Standardrichtlinie

Die Standard-Whitelist für cross-origin-isolated ist self.

Spezifikationen

Specification
HTML
# cross-origin-isolated-feature

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
cross-origin-isolated
Experimental

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
No support
No support
Experimental. Expect behavior to change in the future.

Siehe auch