Permissions-Policy: cross-origin-isolated 指令
HTTP Permissions-Policy 標頭的 cross-origin-isolated 指令控制當前文件是否允許使用需要跨源隔離的 API。
具體來說,如果定義的策略阻止使用此功能,則 Window.crossOriginIsolated 和 WorkerGlobalScope.crossOriginIsolated 屬性將始終返回 false,並且文件將無法受益於某些 API 使用限制的減少,這些限制僅授予跨源隔離文件。無論 Cross-Origin-Embedder-Policy 和 Cross-Origin-Opener-Policy 標頭如何,也無論即使授予了許可權,文件是否會跨源隔離,這都適用。
需要此許可權的 API 包括使用 SharedArrayBuffer 物件和帶有未節流計時器的 Performance.now() —— 有關其他受限 API 的資訊,請參閱 Window.crossOriginIsolated。
此許可權可用於保持對敏感 API 訪問的限制,除非跨源隔離文件確實需要它們。請注意,如果不允許此功能,但它原本會是跨源隔離的,那麼在所有其他方面,它仍然是跨源隔離的。例如,它將只與同一源中的文件共享瀏覽上下文組。
語法
http
Permissions-Policy: cross-origin-isolated=<allowlist>;
<allowlist>-
一個或多個允許使用此功能的源列表。有關更多詳細資訊,請參閱
Permissions-Policy> 語法。
預設策略
cross-origin-isolated 的預設允許列表是 self。
規範
| 規範 |
|---|
| HTML # cross-origin-isolated 功能 |
瀏覽器相容性
載入中…