全新的安全标头：功能策略

简介：上周，安全研究员Scott Helme在其博客发布一篇新博文，提到功能策略将允许网络站点启用或禁用某些浏览器功能和API，来提高网络安全性和隐私性。什么是功能策略功能策略是一种新的安全标头，允许网站所有者在其网页或 ...

上周，安全研究员Scott Helme在其博客发布一篇新博文，提到功能策略将允许网络站点启用或禁用某些浏览器功能和API，来提高网络安全性和隐私性。什么是功能策略功能策略是一种新的安全标头，允许网站所有者在其网页或嵌入的页面启用和禁用某些Web浏览器功能。为终端用户访问站点（包括嵌入的网站）提供更安全的体验。功能策略的工作原理功能策略是通过HTTP响应头提供，与创建其他各种安全标头一样。网站所有者要提前先确定所需要限制的功能，然后再构建策略。如Feature-Policy: vibrate ‘self’; usermedia *; sync-xhr ‘self’ https://example.com通过指定vibrate允许self功能被禁用，除了站点所有者以外，所有来源都被禁用。除了sync-xhr功能仅限于当前原点，所有来源都允许使用“usermedia”。在Helme的示例中，Vibrate功能伴随着“self”，除了站点所有者以外，所有来源都禁用它。同样，sync-xhr功能仅限于当前原点，所有来源都允许使用“usermedia”。站点所有者有三种不同的选择来选择起源：此来源允许当前页面和其他嵌套浏览上下文（即iFrame）使用该功能限制对当前页面以及任何其他嵌套浏览上下文的使用，其前提是它们位于同一来源完全禁用页面和任何其他嵌套浏览上下文中的功能以下是可以使用功能策略启用或禁用的功能列表：geolocationmidinotificationspushsync-xhrmicrophonecameramagnetometergyroscopespeakervibratefullscreenpayment （付钱请求）该列表会有所更改，请密切关注页面底部链接的文档进行更新。限制iframe用户可通过功能策略来对iframe等内容进行更细致的控制，启用特定的iframe功能。如父级禁用某项功能，然后在特定的iFrame上启用该功能。如下例：Feature-Policy: vibrate ‘none’<iframe src=“https://example.com”allow=“vibrate”>可以在站点级别禁用振动，然后在其他特定的iFrame上启用振动功能。当然，也可以指定此策略的另一种方式是允许example.com访问响应头中的振动，但会将其授予从该源加载的所有子上下文。Feature-Policy: vibrate ‘self’ example.com<iframe src=“https://example.com”>功能策略在这方面提供了相当大的灵活性，因此可提供真正保护的方式进行部署。支持目前功能策略处于初期阶段，但已获得Chrome和Safari两大浏览器的支持使用。站点所有者可通过这两个浏览器提前了解该功能。相信随着浏览器的推行，用户获取的安全性将会越来越好。文章转载：https://www.trustauth.cn/wiki/26065.html 本文仅代表作者个人观点，不代表巅云官方发声，对观点有疑义请先联系作者本人进行修改，若内容非法请联系平台管理员，邮箱2522407257@qq.com。更多相关资讯，请到巅云www.rzxsoft.cn学习互联网营销技术请到巅云建站www.rzxsoft.cn。