HTTP Permissions-Policy
Den Permissions-Policy-Header korrekt setzen
HTTP Permissions Policy
Implementierung der Permissions Policy
Die Implementierung der Permissions Policy erfordert nur das Hinzufügen dieses Code-Snippets in die .htaccess
<IfModule mod_headers.c>
Header always set Permissions-Policy "camera=(self), geolocation=(self), microphone=(none), fullscreen=(self), autoplay=(none)"
</IfModule>
Ausnahmen erlauben zur Permissions Policy
Um die Geolokalisierung speziell z.B. für Google- und Bing-Karten zuzulassen, können Sie den Permissions-Policy-Header mit entsprechenden Domänenspezifikationen verwenden. Beachten Sie jedoch, dass Permissions-Policy die Angabe von Drittanbieterdomänen nicht direkt unterstützt.
Solche spezifischen Berechtigungen können Sie besser mit Mechanismen wie iframe-Allow-Attributen zum Einbetten von Inhalten oder komplexerer serverseitiger Logik handhaben.
Für den Permissions-Policy-Header können Sie die Geolokalisierung auf Ihre eigene Domäne (self) beschränken und Ausnahmen für Google- und Bing-Karten mithilfe von iframe-Attributen in Ihrem HTML verwalten. So können Sie dies einrichten für den <iframe>
:
<!-- Google Maps iframe with geolocation allowed -->
<iframe src="https://www.google.com/maps/embed?..." allow="geolocation"></iframe>
<!-- Bing Maps iframe with geolocation allowed -->
<iframe src="https://www.bing.com/maps/embed?..." allow="geolocation"></iframe>
Die Permissions-Policy ist wichtig, um die Privatsphäre zu schützen
Permissions Policy, früher bekannt als Feature Policy, ermöglicht es dem Entwickler, die für eine Seite, ihre Iframes und Unterressourcen verfügbaren Browserfunktionen zu steuern, indem er eine Reihe von Richtlinien deklariert, die der Browser durchsetzen soll.
Der Permissions Policy Header ist eine zusätzliche Sicherheitsebene, die dazu beiträgt, den unbefugten Zugriff oder die unbefugte Nutzung von Browser-/Clientfunktionen durch Webressourcen einzuschränken. Er gewährleistet die Privatsphäre des Benutzers, indem er einschränkt oder angibt, welche Funktionen des Browsers von Webressourcen verwendet werden können. Durch Festlegen des Permissions-Policy-Headers können Websitebesitzer den Zugriff auf Funktionen wie Kamera, Mikrofon, Standort und Vollbild steuern.
Permissions Policy ermöglicht es der Site auf oberster Ebene, zu definieren, was sie und ihre Drittanbieter verwenden möchten, und entlastet den Benutzer von der Aufgabe, festzustellen, ob die Anforderung des Funktionszugriffs legitim ist oder nicht. Wenn der Entwickler beispielsweise die Geolokalisierungsfunktion für alle Drittanbieter über Permissions Policy blockiert, kann er sicher sein, dass kein Drittanbieter Zugriff auf die Geolokalisierung des Benutzers erhält.
Der Benutzer hat die endgültige Entscheidung, ob er den Zugriff auf leistungsstärkere Funktionen zulässt, und muss über eine Eingabeaufforderung eine explizite Erlaubnis erteilen.
Risiken bei Nicht-Anwendung
Wenn der Permissions Policy Header nicht festgelegt ist, haben Webressourcen möglicherweise uneingeschränkten Zugriff auf vertrauliche Browserfunktionen.
Dies kann zu potenziellen Datenschutzverletzungen, unbefugter Datenerfassung oder Missbrauch von Benutzerressourcen führen. Angreifer könnten diese Funktionen ausnutzen, um vertrauliche Informationen zu erfassen, Audio-/Videodateien ohne Zustimmung aufzuzeichnen, Benutzerstandorte zu verfolgen oder den Browser ohne Benutzerinteraktion in den Vollbildmodus zu zwingen.
Es ist wichtig, den Permissions Policy Header festzulegen, um diese Risiken zu mindern und die Privatsphäre der Benutzer zu schützen.
Beispiele zur Anwendung der Permissions Policy
Hier sind einige Beispiele für Features, die mit dem Permissions-Policy-Header gesteuert werden können:
Geolocation
Ermöglicht den Zugriff auf die Geolokalisierungsfunktionen, um den Standort des Benutzers zu bestimmen.Permission-Policy: geolocation=(self)
Kamera und Mikrofon
Steuert den Zugriff auf die Kamera und das Mikrofon für Video- und Audioaufnahmen.Permission-Policy: camera=(self); microphone=(none)
Fullscreen
Steuert, ob die Webseite den Vollbildmodus aktivieren kann.Permission-Policy: fullscreen=(self)
Autoplay für Videos und Audiodateien
Erlaubt oder blockiert das automatische Abspielen von Multimedia-Inhalten.Permission-Policy: autoplay=(none)
Payment Request API
Kontrolliert die Verwendung der Zahlungsfunktionalität für Online-Zahlungen.Permission-Policy: payment=(self)
Eingabeaufforderungen (Prompts)
Ermöglicht das Anzeigen von Benutzerdialogen wie „Bestätigen Sie die Standortfreigabe“ oder „Erlauben Sie Benachrichtigungen“.Permission-Policy: sync-xhr=(self)
Website-TuneUp
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
100% Geld-zurück-Garantie
Keine monatlichen Kosten
Wir schützen, was Ihnen wichtig ist.
Schlüsselfertige Ausführung:
Unsere Experten erledigen die Optimierung komplett für Sie.
Jetzt zum Vorzugspreis von nur 195,- €