Permissions-Policy: cross-origin-isolated 指令
HTTP Permissions-Policy 标头的 cross-origin-isolated 指令控制当前文档是否允许使用需要跨源隔离的 API。
具体来说,如果定义的策略阻止使用此功能,则 Window.crossOriginIsolated 和 WorkerGlobalScope.crossOriginIsolated 属性将始终返回 false,并且文档将无法受益于某些 API 使用限制的减少,这些限制仅授予跨源隔离文档。无论 Cross-Origin-Embedder-Policy 和 Cross-Origin-Opener-Policy 标头如何,也无论即使授予了权限,文档是否会跨源隔离,这都适用。
需要此权限的 API 包括使用 SharedArrayBuffer 对象和带有未节流计时器的 Performance.now() —— 有关其他受限 API 的信息,请参阅 Window.crossOriginIsolated。
此权限可用于保持对敏感 API 访问的限制,除非跨源隔离文档确实需要它们。请注意,如果不允许此功能,但它原本会是跨源隔离的,那么在所有其他方面,它仍然是跨源隔离的。例如,它将只与同一源中的文档共享浏览上下文组。
语法
http
Permissions-Policy: cross-origin-isolated=<allowlist>;
<allowlist>-
一个或多个允许使用此功能的源列表。有关更多详细信息,请参阅
Permissions-Policy> 语法。
默认策略
cross-origin-isolated 的默认允许列表是 self。
规范
| 规范 |
|---|
| HTML # cross-origin-isolated 功能 |
浏览器兼容性
加载中…