Contrôler les fonctionnalités du navigateur avec des règles d'autorisation

Gérez l'accès de votre page et des cadres iFrame tiers aux fonctionnalités du navigateur.

Kevin K. Lee
Kevin K. Lee

La règle d'autorisation, anciennement appelée règle de fonctionnalité, permet au développeur de contrôler les fonctionnalités du navigateur disponibles pour une page, ses iframes et ses sous-ressources, en déclarant un ensemble de règles que le navigateur doit appliquer. Ces règles sont appliquées aux origines fournies dans une liste d'origines d'en-tête de réponse. La liste des origines peut contenir des origines identiques et/ou différentes, et permet au développeur de contrôler l'accès des propriétaires et des tiers aux fonctionnalités du navigateur.

C'est l'utilisateur qui prend la décision finale d'autoriser l'accès à des fonctionnalités plus puissantes. Il doit fournir une autorisation explicite en acceptant une invite.

La stratégie d'autorisations permet au site de niveau supérieur de définir ce que lui et ses tiers ont l'intention d'utiliser, et décharge l'utilisateur de la tâche de déterminer si la demande d'accès à la fonctionnalité est légitime ou non. Par exemple, en utilisant la stratégie d'autorisation pour bloquer la fonctionnalité de géolocalisation pour tous les tiers, le développeur peut être certain qu'aucun tiers n'aura accès à la géolocalisation de l'utilisateur.

Modifications apportées aux règles relatives aux autorisations

La règle d'autorisation était auparavant appelée "règle de fonctionnalité". Les concepts clés restent les mêmes, mais le nom a changé et certains changements importants ont été apportés.

Utilisation des champs structurés

Les champs structurés fournissent un ensemble de structures de données courantes pour standardiser l'analyse et la sérialisation des valeurs des champs d'en-tête HTTP. Pour en savoir plus sur les champs structurés, consultez l'article de blog de Fastly intitulé Améliorer HTTP avec des champs d'en-tête structurés.

Ancienne version
  geolocation 'self' https://example.com; camera 'none'

Avant avec la règle de caractéristiques.

Nouveau
  geolocation=(self "https://example.com"), camera=()

Désormais, avec le règlement sur les autorisations.

Combiner les en-têtes avec l'attribut iFrame allow

Avec la stratégie de fonctionnalité, vous pouvez ajouter la fonctionnalité à un frame inter-origine en ajoutant l'origine à la liste des origines de l'en-tête ou en ajoutant un attribut allow à la balise iFrame. Conformément aux règles sur les autorisations, si vous ajoutez un frame multi-origine à la liste des origines, la balise iFrame de cette origine doit inclure l'attribut allow. Si la réponse ne contient pas d'en-tête de règles d'autorisation, la valeur par défaut de la liste des origines est considérée comme étant *. L'ajout de l'attribut allow à l'iframe permet d'accéder à la fonctionnalité.

Par conséquent, nous recommandons aux développeurs de définir explicitement l'en-tête de la règle d'autorisation dans la réponse afin que les iFrames inter-origines qui ne figurent pas dans la liste des origines ne puissent pas accéder à cette fonctionnalité, même si allow est présent.

La règle de fonctionnalité peut toujours être utilisée après Chrome 88, mais sert d'alias pour la règle d'autorisation. En dehors de la syntaxe, il n'existe aucune différence de logique. Si les en-têtes de règles d'autorisation et de règles de fonctionnalités sont utilisés ensemble, l'en-tête Permissions-Policy aura une priorité plus élevée et écrasera la valeur fournie par l'en-tête Feature-Policy.

Comment utiliser la stratégie d'autorisation ?

Présentation rapide

Avant d'entrer dans le vif du sujet, examinons un scénario courant : vous êtes le propriétaire d'un site Web et vous souhaitez contrôler la façon dont votre site et le code tiers utilisent les fonctionnalités du navigateur.

  • Votre site est https://your-site.example.
  • Votre site intègre une iFrame de même origine (https://your-site.example).
  • Votre site intègre un iFrame de https://trusted-site.example de confiance.
  • Votre site affiche également des annonces diffusées par https://ad.example.
  • Vous souhaitez autoriser la géolocalisation uniquement pour votre site et le site de confiance, et non pour l'annonce.

Dans ce cas, utilisez l'en-tête suivant:

Permissions-Policy: geolocation=(self "https://trusted-site.example")

Définissez également l'attribut allow de manière explicite sur le tag iFrame du site de confiance:

<iframe src="https://trusted-site.example" allow="geolocation">

Présentation rapide de l&#39;utilisation des règles d&#39;autorisation.

Dans cet exemple, la liste des origines d'en-tête n'autorise que votre site (self) et trusted-site.example à utiliser la fonctionnalité de géolocalisation. ad.example n'est pas autorisé à utiliser la géolocalisation.

  1. Votre site your-site.example est autorisé à utiliser la fonctionnalité de géolocalisation avec le consentement de l'utilisateur.
  2. Un iFrame d'origine identique (your-site.example) est autorisé à utiliser la fonctionnalité sans utiliser l'attribut allow.
  3. Une iFrame diffusée à partir d'un sous-domaine (subdomain.your-site-example) différent qui n'a pas été ajouté à la liste des origines et dont l'attribut allow est défini sur la balise iFrame ne peut pas utiliser cette fonctionnalité. Les différents sous-domaines sont considérés comme des sites du même domaine, mais d'origine différente.
  4. Un iFrame multi-origine (trusted-site.example) qui a été ajouté à la liste des origines et dont l'attribut allow est défini sur la balise iFrame est autorisé à utiliser la fonctionnalité.
  5. Un iframe inter-origine (trusted-site.example) ajouté à la liste des origines, sans l'attribut allow, ne peut pas utiliser la fonctionnalité.
  6. Un élément iframe inter-origine (ad.example) qui n'a pas été ajouté à la liste des origines ne peut pas utiliser la fonctionnalité, même si l'attribut allow est inclus dans la balise iframe.

En-tête de réponse HTTP Permissions-Policy

L&#39;utilisateur envoie une requête, le serveur répond avec l&#39;en-tête de la stratégie d&#39;autorisations, puis le navigateur accorde l&#39;accès en fonction de cet en-tête.

Permissions-Policy: <feature>=(<token>|<origin(s)>)

Utilisez un en-tête Permissions-Policy dans la réponse du serveur pour définir les origines autorisées pour une fonctionnalité. La valeur de l'en-tête peut prendre une combinaison de jetons et de chaînes d'origines. Les jetons disponibles sont * pour toutes les origines et self pour la même origine.

Si votre en-tête concerne plusieurs caractéristiques, séparez-les par une virgule. Si vous indiquez plusieurs origines, séparez-les par un espace. Pour les en-têtes qui listent une origine qui est une requête inter-origines, la balise iframe doit inclure l'attribut allow.

Voici quelques exemples de paires clé-valeur :

  • Syntaxe : [FEATURE]=*
    • Règle appliquée à toutes les origines
    • Exemple : geolocation=*
  • Syntaxe : [FEATURE]=(self)
    • Règle appliquée à la même origine
    • Exemple : geolocation=(self)
  • Syntaxe : [FEATURE]=(self [ORIGIN(s)])
    • Règle appliquée à la même origine et aux origines spécifiées
    • Exemple : geolocation=(self "https://a.example" "https://b.example")
    • self est un raccourci de https://your-site.example
  • Syntaxe: [FEATURE]=([ORIGIN(s)])
    • Règle appliquée à la même origine et aux origines spécifiées
    • Exemple : geolocation=("https://your-site.example" "https://a.example" "https://b.example")
    • Lorsque vous utilisez cette syntaxe, l'une des origines doit être celle de l'intégrateur. Si les autorisations ne sont pas accordées à la page d'intégration elle-même, les iFrames intégrées à cette page seront également bloquées, même si elles sont ajoutées à la liste des origines, car le règlement sur les autorisations délègue les autorisations. Vous pouvez également utiliser le jeton self.
  • Syntaxe : [FEATURE]=()
    • Fonctionnalité bloquée pour toutes les origines
    • Exemple : geolocation=()

Différents sous-domaines et chemins

Différents sous-domaines, tels que https://your-site.example et https://subdomain.your-site.example, sont considérés comme du même site, mais multi-origines. Par conséquent, l'ajout d'un sous-domaine à la liste des origines ne permet pas d'accéder à un autre sous-domaine du même site. Chaque sous-domaine intégré qui souhaite utiliser la fonctionnalité doit être ajouté séparément à la liste des origines. Par exemple, si l'accès aux sujets de navigation de l'utilisateur n'est autorisé que pour la même origine avec l'en-tête Permissions-Policy: browsing-topics=(self), une iframe provenant d'un autre sous-domaine du même site, https://subdomain.your-site.example, n'aura pas accès aux sujets.

Les chemins d'accès différents, tels que https://your-site.example et https://your-site.example/embed, sont considérés comme de même origine, et ils ne doivent pas nécessairement figurer dans la liste des origines.

Attribut allow d'iFrame

Configuration de l&#39;iFrame

Pour une utilisation inter-origine, un iframe a besoin de l'attribut allow dans la balise pour accéder à la fonctionnalité.

Syntaxe : <iframe src="[ORIGIN]" allow="[FEATURE] <'src' | [ORIGIN(s)]"></iframe>

Exemple :

<iframe src="https://trusted-site.example" allow="geolocation">

Gérer la navigation iFrame

Configuration de la navigation iFrame

Par défaut, si un iframe accède à une autre origine, la règle n'est pas appliquée à l'origine à laquelle l'iframe accède. En listant l'origine vers laquelle l'iframe navigue dans l'attribut allow, la stratégie d'autorisation appliquée à l'iframe d'origine sera appliquée à l'origine vers laquelle l'iframe navigue.

<iframe src="https://trusted-site.example" allow="geolocation https://trusted-site.example https://trusted-navigated-site.example">

Pour voir comment cela fonctionne, consultez la démonstration de navigation dans une iFrame.

Exemples de configurations de règles d'autorisation

Vous trouverez des exemples des configurations suivantes dans la démonstration.

Fonctionnalité autorisée pour toutes les origines

Architecture de toutes les origines autorisées à accéder à la fonctionnalité

Permissions-Policy: geolocation=*

<iframe src="https://trusted-site.example" allow="geolocation">
<iframe src="https://ad.example" allow="geolocation">

Lorsque la liste d'origines est définie sur le jeton *, la fonctionnalité est autorisée pour toutes les origines présentes sur la page, y compris la sienne et tous les iFrames. Dans cet exemple, l'ensemble du code diffusé à partir de https://your-site.example et de l'iFrame https://trusted-site.example et de https://ad.example ont accès à la fonctionnalité de géolocalisation dans le navigateur de l'utilisateur. N'oubliez pas que l'attribut "allow" doit également être défini sur l'iframe lui-même, et que l'origine doit être ajoutée à la liste des origines de l'en-tête.

Cette configuration est illustrée dans la démonstration.

Fonctionnalité autorisée uniquement pour la même origine

Architecture permettant uniquement à une page de même origine d&#39;accéder à la fonctionnalité

Permissions-Policy: geolocation=(self)

L'utilisation du jeton self permet d'utiliser la géolocalisation uniquement pour la même origine. Les multi-origines n'auront pas accès à la fonctionnalité. Dans cet exemple, seul https://trusted-site.example (self) aura accès à la géolocalisation. Utilisez cette syntaxe si vous souhaitez que la fonctionnalité ne s'applique qu'à votre page.

Cette configuration est illustrée dans la démonstration.

Fonctionnalité autorisée pour les pages de même origine et les pages multi-origines spécifiques

Architecture des origines spécifiées autorisées à accéder à la fonctionnalité

Permissions-Policy: geolocation=(self "https://trusted-site.example")

Cette syntaxe permet d'utiliser la géolocalisation pour soi-même (https://your-site.example) et https://trusted-site.example. N'oubliez pas d'ajouter explicitement l'attribut allow dans le tag iFrame. Si un autre iFrame contient <iframe src="https://ad.example" allow="geolocation">, https://ad.example n'aura pas accès à la fonctionnalité de géolocalisation. Seule la page d'origine et le https://trusted-site.example figurant dans la liste des origines et dont l'attribut "allow" est défini dans la balise iframe auront accès à la fonctionnalité de l'utilisateur.

Vous pouvez voir cette configuration dans la démonstration.

Fonctionnalité bloquée sur toutes les origines

Architecture de toutes les origines bloquées pour accéder à la fonctionnalité

Permissions-Policy: geolocation=()

Si la liste des origines est vide, la fonctionnalité est bloquée pour toutes les origines. Vous pouvez voir cette configuration dans la démonstration.

Utiliser l'API JavaScript

L'API JavaScript existante de la règle de fonctionnalité se trouve sous la forme d'un objet dans le document ou l'élément (document.featurePolicy or element.featurePolicy). L'API JavaScript pour la règle d'autorisation n'a pas encore été implémentée.

L'API Feature Policy peut être utilisée pour les règles définies par le règlement sur les autorisations, mais avec certaines restrictions. Des questions restent en suspens concernant l'implémentation d'une API JavaScript. Une proposition a été faite pour déplacer la logique dans l'API Permissions. Rejoignez la discussion si vous avez des commentaires.

featurePolicy.allowsFeature(feature)

  • Renvoie true si la fonctionnalité est autorisée pour l'utilisation de l'origine par défaut.
  • Le comportement est le même pour les deux règles définies par la règle d'autorisation et la précédente règle de fonctionnalité
  • Lorsque allowsFeature() est appelé sur un élément iFrame (iframeEl.featurePolicy.allowsFeature('geolocation')), la valeur renvoyée indique si l'attribut "allow" est défini sur l'iFrame.

featurePolicy.allowsFeature(feature, origin)

  • Renvoie true si la fonctionnalité est autorisée pour l'origine spécifiée.
  • Si la méthode est appelée sur document, elle ne vous indique plus si la fonctionnalité est autorisée pour l'origine spécifiée, comme le faisait la règle de fonctionnalité. Cette méthode vous indique maintenant qu'il est possible que la caractéristique soit autorisée pour cette origine. Vous devez vérifier si l'attribut allow est défini ou non dans l'iframe. Le développeur doit effectuer une vérification supplémentaire de l'attribut allow sur l'élément iframe pour déterminer si la fonctionnalité est autorisée pour l'origine tierce.

Rechercher des fonctionnalités dans un iframe avec l'objet element

Vous pouvez utiliser element.allowsFeature(feature), qui tient compte de l'attribut "allow", contrairement à document.allowsFeature(feature, origin).

const someIframeEl = document.getElementById('some-iframe')
const isCameraFeatureAllowed = someIframeEl.featurePolicy.allowsFeature('camera')

featurePolicy.allowedFeatures()

  • Affiche la liste des caractéristiques autorisées pour l'utilisation de l'origine par défaut.
  • Le comportement est identique pour les deux règles définies par les règles d'autorisation et les règles relatives aux fonctionnalités
  • Lorsque le nœud associé est un iframe, l'attribut allow est pris en compte.

featurePolicy.features()

  • Affiche la liste des fonctionnalités disponibles dans le navigateur.
  • Le comportement est le même pour les deux règles définies par la règle d'autorisations et la règle de fonctionnalités.

Intégration des outils pour les développeurs Chrome

Intégration des outils pour les développeurs Chrome avec le règlement sur les autorisations

Découvrez le fonctionnement de la stratégie d'autorisations dans DevTools.

  1. Ouvrez les outils pour les développeurs Chrome.
  2. Ouvrez le panneau Application pour vérifier les fonctionnalités autorisées et non autorisées de chaque frame.
  3. Dans la barre latérale, sélectionnez le frame que vous souhaitez inspecter. Une liste des fonctionnalités autorisées à être utilisées par le frame sélectionné et une liste des fonctionnalités bloquées dans ce frame s'affichent.

Migration depuis Feature-Policy

Si vous utilisez l'en-tête Feature-Policy, vous pouvez suivre la procédure ci-dessous pour migrer vers les règles d'autorisation.

Remplacer les en-têtes de la règle de fonctionnalité par des en-têtes de la règle d'autorisation

Étant donné que les en-têtes des règles relatives aux fonctionnalités ne sont compatibles qu'avec les navigateurs basés sur Chromium, et que les en-têtes des règles d'autorisation sont compatibles depuis Chrome 88, vous pouvez mettre à jour les en-têtes existants sans risque.

Ancienne version
Feature-Policy:
  autoplay *;
  geolocation 'self';
  camera 'self' 'https://trusted-site.example';
  fullscreen 'none';

Avant avec la règle de caractéristiques.

Nouveau
Permissions-Policy:
  autoplay=*,
  geolocation=(self),
  camera=(self "https://trusted-site.example"),
  fullscreen=()

Désormais, avec le règlement sur les autorisations.

Mettre à jour l'utilisation de document.allowsFeature(feature, origin)

Si vous utilisez la méthode document.allowsFeature(feature, origin) pour vérifier les fonctionnalités autorisées pour les iFrames, utilisez la méthode allowsFeature(feature) associée à l'élément iFrame, et non à l'document contenant. La méthode element.allowsFeature(feature) tient compte de l'attribut "allow", contrairement à document.allowsFeature(feature, origin).

Vérifier l'accès aux fonctionnalités avec document

Pour continuer à utiliser document comme nœud de base, vous devez effectuer une vérification supplémentaire de l'attribut allow au niveau du tag iFrame.

<iframe id="some-iframe" src="https://example.com" allow="camera"></iframe>

Permissions-Policy: camera=(self "https://example.com")

const isCameraPolicySet = document.featurePolicy.allowsFeature('camera', 'https://example.com')

const someIframeEl = document.getElementById('some-iframe')
const hasCameraAttributeValue = someIframeEl.hasAttribute('allow')
&& someIframeEl.getAttribute('allow').includes('camera')

const isCameraFeatureAllowed = isCameraPolicySet && hasCameraAttributeValue

Au lieu de mettre à jour le code existant à l'aide de document, il est recommandé d'appeler allowsFeature() sur l'objet element, comme dans l'exemple précédent.

API Reporting

L'API Reporting fournit un mécanisme de création de rapports pour les applications Web de manière cohérente. L'API Reporting pour les cas de non-respect des règles sur les autorisations est disponible en tant que fonctionnalité expérimentale.

Si vous souhaitez tester la fonctionnalité expérimentale, suivez le tutoriel et activez l'indicateur dans chrome://flags/#enable-experimental-web-platform-features. Lorsque l'indicateur est activé, vous pouvez observer les cas de non-respect des règles d'autorisation dans les outils de développement, sous l'onglet "Application" :

L'exemple suivant montre comment l'en-tête de l'API Reporting peut être construit :

Reporting-Endpoints: main-endpoint="https://reports.example/main", default="https://reports.example/default"

Content-Security-Policy: script-src 'self'; object-src 'none'; report-to main-endpoint;
Document-Policy: document-write=?0; report-to=main-endpoint;

Dans l'implémentation actuelle, vous pouvez recevoir des rapports de non-respect des règles pour tout cas de non-respect qui se produit dans ce cadre en configurant un point de terminaison nommé "default", comme dans l'exemple précédent. Les sous-cadres nécessitent leur propre configuration de création de rapports.

En savoir plus

Pour en savoir plus sur les règles d'autorisation, consultez les ressources suivantes: