Permissions-Policy: geolocation 指令
HTTP Permissions-Policy 頭部的 geolocation 指令控制當前文件是否允許使用 Geolocation 介面。
具體來說,如果定義的策略阻止了此功能的使用,則對 getCurrentPosition() 和 watchPosition() 的呼叫將導致這些函式的 callback 以 PERMISSION_DENIED 的 GeolocationPositionError 程式碼被呼叫。
預設情況下,Geolocation API 可以在頂級文件及其同源子框架中使用。此指令允許或阻止跨源框架訪問地理定位。這包括同源框架。
語法
http
Permissions-Policy: geolocation=<allowlist>;
<allowlist>-
被授予使用此功能許可權的源列表。有關更多詳細資訊,請參閱
Permissions-Policy> 語法。
預設策略
geolocation 的預設允許列表是 self。
示例
一般示例
SecureCorp Inc. 希望停用所有瀏覽上下文中的 Geolocation API,除了它自己的源和源為 https://example.com 的那些。它可以透過傳送以下 HTTP 響應頭來定義 Permissions Policy:
http
Permissions-Policy: geolocation=(self "https://example.com")
使用 <iframe> 元素
FastCorp Inc. 希望停用所有跨源子框架的 geolocation,除了特定的 <iframe>。它可以透過傳送以下 HTTP 響應頭來定義 Permissions Policy:
http
Permissions-Policy: geolocation=(self)
然後在 <iframe> 元素上包含一個 allow 屬性
html
<iframe src="https://other.com/map" allow="geolocation"></iframe>
有趣的是,即使這些框架包含來自同一來源的文件,allow 屬性也可以選擇性地在某些框架中啟用功能,而在其他框架中不啟用。
規範
| 規範 |
|---|
| Geolocation # permissions-policy |
瀏覽器相容性
載入中…