Plattform für Internetsicherheit
Home » Security Headers » Permissions-Policy

HTTP Permissions-Policy

Den Permissions-Policy-Header korrekt setzen

Permissions Policy Header

Implementierung der Permissions Policy

Die Implementierung der Permissions Policy erfordert nur das Hinzufügen dieses Code-Snippets in die .htaccess

.htaccess

<IfModule mod_headers.c>
  Header always set Permissions-Policy "camera=(self), geolocation=(self), microphone=(none), fullscreen=(self), autoplay=(none)"
</IfModule>

Ausnahmen erlauben zur Permissions Policy

Um die Geolokalisierung speziell z.B. für Google- und Bing-Karten zuzulassen, können Sie den Permissions-Policy-Header mit entsprechenden Domänenspezifikationen verwenden. Beachten Sie jedoch, dass Permissions-Policy die Angabe von Drittanbieterdomänen nicht direkt unterstützt.

Solche spezifischen Berechtigungen können Sie besser mit Mechanismen wie iframe-Allow-Attributen zum Einbetten von Inhalten oder komplexerer serverseitiger Logik handhaben.

Für den Permissions-Policy-Header können Sie die Geolokalisierung auf Ihre eigene Domäne (self) beschränken und Ausnahmen für Google- und Bing-Karten mithilfe von iframe-Attributen in Ihrem HTML verwalten. So können Sie dies einrichten für den <iframe>:

HTML

<!-- Google Maps iframe with geolocation allowed -->
<iframe src="https://www.google.com/maps/embed?..." allow="geolocation"></iframe>

<!-- Bing Maps iframe with geolocation allowed -->
<iframe src="https://www.bing.com/maps/embed?..." allow="geolocation"></iframe>

Die Permissions-Policy ist wichtig, um die Privatsphäre zu schützen

Permissions Policy, früher bekannt als Feature Policy, ermöglicht es dem Entwickler, die für eine Seite, ihre Iframes und Unterressourcen verfügbaren Browserfunktionen zu steuern, indem er eine Reihe von Richtlinien deklariert, die der Browser durchsetzen soll.

Der Permissions Policy Header ist eine zusätzliche Sicherheitsebene, die dazu beiträgt, den unbefugten Zugriff oder die unbefugte Nutzung von Browser-/Clientfunktionen durch Webressourcen einzuschränken. Er gewährleistet die Privatsphäre des Benutzers, indem er einschränkt oder angibt, welche Funktionen des Browsers von Webressourcen verwendet werden können. Durch Festlegen des Permissions-Policy-Headers können Websitebesitzer den Zugriff auf Funktionen wie Kamera, Mikrofon, Standort und Vollbild steuern.

Permissions Policy ermöglicht es der Site auf oberster Ebene, zu definieren, was sie und ihre Drittanbieter verwenden möchten, und entlastet den Benutzer von der Aufgabe, festzustellen, ob die Anforderung des Funktionszugriffs legitim ist oder nicht. Wenn der Entwickler beispielsweise die Geolokalisierungsfunktion für alle Drittanbieter über Permissions Policy blockiert, kann er sicher sein, dass kein Drittanbieter Zugriff auf die Geolokalisierung des Benutzers erhält.

Der Benutzer hat die endgültige Entscheidung, ob er den Zugriff auf leistungsstärkere Funktionen zulässt, und muss über eine Eingabeaufforderung eine explizite Erlaubnis erteilen.

Risiken bei Nicht-Anwendung

Wenn der Permissions Policy Header nicht festgelegt ist, haben Webressourcen möglicherweise uneingeschränkten Zugriff auf vertrauliche Browserfunktionen.

Dies kann zu potenziellen Datenschutzverletzungen, unbefugter Datenerfassung oder Missbrauch von Benutzerressourcen führen. Angreifer könnten diese Funktionen ausnutzen, um vertrauliche Informationen zu erfassen, Audio-/Videodateien ohne Zustimmung aufzuzeichnen, Benutzerstandorte zu verfolgen oder den Browser ohne Benutzerinteraktion in den Vollbildmodus zu zwingen.

Es ist wichtig, den Permissions Policy Header festzulegen, um diese Risiken zu mindern und die Privatsphäre der Benutzer zu schützen.

Beispiele zur Anwendung der Permissions Policy

Hier sind einige Beispiele für Features, die mit dem Permissions-Policy-Header gesteuert werden können:

Geolocation

Ermöglicht den Zugriff auf die Geolokalisierungsfunktionen, um den Standort des Benutzers zu bestimmen.
Permission-Policy: geolocation=(self)

Kamera und Mikrofon

Steuert den Zugriff auf die Kamera und das Mikrofon für Video- und Audioaufnahmen.
Permission-Policy: camera=(self); microphone=(none)

Fullscreen

Steuert, ob die Webseite den Vollbildmodus aktivieren kann.
Permission-Policy: fullscreen=(self)

Autoplay für Videos und Audiodateien

Erlaubt oder blockiert das automatische Abspielen von Multimedia-Inhalten.
Permission-Policy: autoplay=(none)

Payment Request API

Kontrolliert die Verwendung der Zahlungsfunktionalität für Online-Zahlungen.
Permission-Policy: payment=(self)

Eingabeaufforderungen (Prompts)

Ermöglicht das Anzeigen von Benutzerdialogen wie „Bestätigen Sie die Standortfreigabe“ oder „Erlauben Sie Benachrichtigungen“.
Permission-Policy: sync-xhr=(self)

War dieser Artikel hilfreich?

2
0
GetSafe 360° Box

360° Website OptimierungWordPress-TuneUp

Sichern der Administration und Login-Seite
Auslesen von Benutzernamen verhindern
Inhaltsicherheitsrichtlinie (CSP)
Blockieren verdächtiger User-Agents
SQL-Injections und XSS-Absicherung
HTTP-Sicherheits-Header

Normalerweise 145,-
Zeitlich befristetes Angebot zum Sonderpreis für nur

95,-
100% Geld-zurück-Garantie – keine Folgekosten.
Preis versteht sich als Nettopreis zuzüglich Mehrwertsteuer.

Jetzt Starten »