Permissions-Policy: chỉ thị cross-origin-isolated
Experimental: This is an experimental technology
Check the Browser compatibility table carefully before using this in production.
Chỉ thị cross-origin-isolated của header HTTP Permissions-Policy kiểm soát việc tài liệu hiện tại có được phép sử dụng các API yêu cầu cách ly cross-origin hay không.
Cụ thể, khi một chính sách đã được xác định chặn việc sử dụng tính năng này, các thuộc tính Window.crossOriginIsolated và WorkerGlobalScope.crossOriginIsolated sẽ luôn trả về false, và tài liệu sẽ không được hưởng lợi từ các hạn chế được giảm bớt khi sử dụng một số API chỉ được cấp cho các tài liệu cross-origin isolated.
Điều này đúng bất kể các header Cross-Origin-Embedder-Policy và Cross-Origin-Opener-Policy, và liệu tài liệu có bị cách ly cross-origin hay không nếu quyền được cấp.
Các API yêu cầu quyền này bao gồm việc sử dụng các đối tượng SharedArrayBuffer và Performance.now() với các bộ đếm thời gian không bị điều tiết — xem Window.crossOriginIsolated để biết thông tin về các API bị hạn chế khác.
Quyền có thể được sử dụng để duy trì các hạn chế truy cập vào các API nhạy cảm trừ khi chúng thực sự cần thiết bởi một tài liệu cross-origin isolated. Lưu ý rằng nếu tính năng không được cho phép, nhưng ngược lại tài liệu sẽ bị cách ly cross-origin, thì trong tất cả các khía cạnh khác nó vẫn bị cách ly cross-origin. Ví dụ, nó sẽ chỉ chia sẻ một nhóm ngữ cảnh duyệt web với các tài liệu cùng nguồn gốc.
Cú pháp
Permissions-Policy: cross-origin-isolated=<allowlist>;
<allowlist>-
Danh sách một hoặc nhiều nguồn gốc được cấp quyền sử dụng tính năng. Xem
Permissions-Policy> Cú pháp để biết thêm chi tiết.
Chính sách mặc định
Danh sách cho phép mặc định cho cross-origin-isolated là self.
Thông số kỹ thuật
| Specification |
|---|
| HTML # cross-origin-isolated-feature |