Feature-Policy是HTML5引入的安全机制,仅通过HTTP响应头或iframe的allow属性设置,HTML4完全不支持;2023年起被Permissions-Policy取代,但语法兼容,旧版浏览器仍支持Feature-Policy。
Feature-Policy 是 HTML5 引入的响应式安全机制,用于控制嵌入内容(如 )能使用哪些浏览器 API;而 HTML4 完全不支持该机制——它没有对应语法、无浏览器实现、也无任何等效替代方案。
怎么在 HTML5 中设置 Feature-Policy
实际可用的方式只有两种:HTTP 响应头或 的 allow 属性。页面级的 或全局策略声明无效,现代浏览器已忽略。
-
Feature-Policy响应头已废弃,2023 年起被Permissions-Policy取代,但大多数浏览器仍兼容旧名(推荐直接用新名) - 对内嵌 iframe,必须显式通过
allow属性声明所需功能,例如: - 允许值是空格分隔的特性列表,每个特性可带布尔值或源列表,如:
microphone 'self' https://api.example.com - 未声明的特性默认禁用,包括
geolocation、camera、accelerometer等敏感 API
Permissions-Policy: geolocation=(self), microphone=(), fullscreen=(self "https://trusted.com")
Permissions-Policy 和 Feature-Policy 的兼容性差异
Chrome 93+、Edge 93+、Safari 16.4+ 已完全切换至 Permissions-Policy;Firefox 102+ 支持但默认仅对 iframe 生效。旧版 Feature-Policy 在 Chrome 80–92 中仍工作,但会触发控制台警告。
- HTTP 头中两个名称可共存,但浏览器只认一个(优先
Permissions-Policy) -
属性值语法一致,无需修改,但语义上属于Permissions-Policy规范 - HTML4 页面即使强行写入
allow属性,浏览器会静默忽略——解析器不认识该属性
HTML4 真的完全不能控制浏览器功能吗
不能。HTML4 没有标准机制限制 API 调用,所有“控制”都依赖外部手段:
立即学习“前端免费学习笔记(深入)”;
- 服务端通过
X-Frame-Options或Content-Security-Policy限制嵌入,但这不是功能级控制 - JavaScript 层面可检测
navigator.geolocation是否存在或调用时捕获SecurityError,但这是运行时兜底,非声明式策略 - 浏览器扩展或企业策略(如 Chrome 管理模板)可强制禁用某 API,但与 HTML 文档无关
真正起作用的策略必须由浏览器在解析阶段介入,而 HTML4 规范里连“策略”这个概念都不存在。
