Permissions-Policy (früher als Feature-Policy bekannt) ist ein HTTP-Response-Header, mit dem du steuern kannst, welche Browser-Funktionen und APIs auf deiner Seite und von eingebetteten Drittanbieter-Inhalten genutzt werden dürfen.
Warum es wichtig ist
Moderne Browser bieten leistungsstarke APIs wie Kamera, Mikrofon, Geolokalisierung und Zahlungsanfragen. Ohne eine Permissions-Policy könnte jeder eingebettete iframe oder jedes Drittanbieter-Skript potenziell auf diese Funktionen zugreifen:
- Eine bösartige Werbung in einem iframe könnte auf die Kamera des Nutzers zugreifen
- Drittanbieter-Skripte könnten Standortdaten anfordern
- Eingebettete Inhalte könnten Zahlungsdialoge auslösen
Beispiel
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()Die leeren Klammern () bedeuten, dass die Funktion vollständig deaktiviert ist.
Häufig eingeschränkte Funktionen
camera,microphone— Medienaufnahmegerätegeolocation— Standortzugriffpayment— Payment Request APIusb,bluetooth— Hardware-Zugriffinterest-cohort— FLoC-Tracking deaktivieren
Was InspectWP prüft
InspectWP prüft, ob deine WordPress-Seite einen Permissions-Policy-Header sendet. Ohne diesen können eingebettete Inhalte möglicherweise auf Browser-Funktionen zugreifen, die eingeschränkt werden sollten.