Urprünglich war dieser Header als Feature Policy Header bekannt und wurde im März 2020 in Permission Policy umbenannt. Der „permission-policy“-Header ermöglicht die Steuerung verschiedener Funktionen (Features) und APIs in einer Webanwendung und auch aller eingebetteter Seiten. Ein Webseiten Betreiber kann über diesen entscheiden, mit Hilfe welcher Sensoren ein User getrackt werden kann. Dieser Header stellt somit eine wichtige Eingriffsmöglichkeit für Datenschutz By Default dar.
Hier sind einige Beispiele für Features, die mit diesem Header gesteuert werden können:
- Geolocation: Ermöglicht den Zugriff auf die Geolokalisierungsfunktionen des Geräts, um den Standort des Benutzers zu bestimmen.Beispiel:
Permission-Policy: geolocation 'self'
- Kamera und Mikrofon: Steuert den Zugriff auf die Kamera und das Mikrofon des Geräts für WebRTC-Anwendungen und Video-/Audioaufnahmen.Beispiel:
Permission
-Policy: camera 'self'; microphone 'none' - Gyroskop, Beschleunigungssensor, Magnetometer: Erlaubt oder blockiert den Zugriff auf diese Sensoren des Geräts.Beispiel:
Permission
-Policy: gyroscope 'self' - Fullscreen: Steuert, ob die Webseite den Vollbildmodus aktivieren kann.Beispiel:
Permission
-Policy: fullscreen 'self' - Autoplay für Videos und Audiodateien: Erlaubt oder blockiert das automatische Abspielen von Multimedia-Inhalten.Beispiel:
Permission
-Policy: autoplay 'none' - Payment Request API: Kontrolliert die Verwendung der Zahlungsfunktionalität für Online-Zahlungen.Beispiel:
Permission
-Policy: payment 'self' - Eingabeaufforderungen (Prompts): Ermöglicht das Anzeigen von Benutzerdialogen wie „Bestätigen Sie die Standortfreigabe“ oder „Erlauben Sie Benachrichtigungen“.Beispiel:
Permission
-Policy: sync-xhr 'self' - Sync XHR: Steuert die Synchronisierung von XMLHttpRequests (XHR) in einem Service Worker.Beispiel:
Permission
-Policy: sync-xhr 'self' - Picture-in-Picture (PiP): Kontrolliert die Nutzung des PiP-Modus für Videos.Beispiel:
Permission-Policy: picture-in-picture 'self'
- VR und AR: Steuert den Zugriff auf Virtual Reality (VR) und Augmented Reality (AR)-Funktionen.Beispiel:
Permission-Policy: vr 'self'
Diese sind nur einige Beispiele, und es gibt noch weitere Funktionen und APIs, die durch den „feature-policy“-Header gesteuert werden können. Webentwickler können dieses Header-Attribut verwenden, um die Sicherheit und das Datenschutzniveau ihrer Webanwendungen zu erhöhen, indem sie den Zugriff auf bestimmte Funktionen auf vertrauenswürdige Domains beschränken.