Feature-Policy

O cabeçalho HTTPFeature-Policy provê um mecanismo para permitir ou proibir o uso de funcionalidades do navegador no seu próprio enquadramento, e o conteúdo dentro de quaisquer elementos<iframe> no documento.

Nota:Este cabeçalho ainda está em estado experimental, e é sujeito a mudança a qualquer momento. Tenha cautela quando implementando isso no seu site. O cabeçalho agora foi renomeado paraPermissions-Policy na especificação, e este artigo irá eventualmente ser atualizado para refletir estas atualizações.

Para mais informação, veja o artigo principalPolicy Feature.

Tipo de cabeçalho	Response header
Forbidden header name	sim

Sintaxe

Feature-Policy: <directive> <allowlist>

<directive>: A diretiva Feature Policy que irá aplicar aallowlist. VejaDiretivas abaixo para a lista de nomes de diretivas.
<allowlist>

Diretivas

accelerometer: Controla se o documento atual é permitido de coletar informação sobre a aceleração do dispositivo através da interfaceAccelerometer.
ambient-light-sensor: Controla se o documento atual é permitido de coletar informação sobre a quantidade de luz no ambiente ao redor do dispositivo através da interfaceAmbientLightSensor.
autoplay: Controla se o documento atual é permitido de tocar a mídia requisitada automaticamente através da interfaceHTMLMediaElement. Quando esta política é desabilitada e não há ação do usuário, oPromise retornado peloHTMLMediaElement.play() irá rejeitar com umaDOMException. O atributoautoplay em elementos<audio> e<video> será ignorado.
battery: Controla se o uso daAPI de Status de Bateria é permitido. Quando esta política está desabilitada, oPromise retornado peloNavigator.getBattery() irá rejeitar com umNotAllowedErrorDOMException.
camera: Controla se o documento atual é permitido de usar entradas de dispositivos de vídeo. Quando esta política está desabilitada, oPromise retornado pelogetUserMedia() irá rejeitar com umNotAllowedErrorDOMException.
display-capture: Controla se o documento atual é permitido ou não de usar o métodogetDisplayMedia() para capturar conteúdos de tela. Quando esta política está desabilitada, aPromise retornada pelogetDisplayMedia() irá rejeitar com umNotAllowedError se a permissão não for obtida para capturar os conteúdos da tela.
document-domain: Controle se o documento atual é permitido de colocardocument.domain. Quando esta política está desabilitada, tentativas em colocardocument.domain irão falhar e causar umaSecurityErrorDOMException a ser jogada.
encrypted-media: Controla se o documento atual é permitido de usar a APIExtensões de Mídias Encriptadas (Encrypted Media Extensions) (EME). Quando esta política é desabilitada, aPromise retornada peloNavigator.requestMediaKeySystemAccess() irá rejeitar com umDOMException.
execution-while-not-rendered: Controla se as tarefas devem ser executadas em enquadramentos enquanto não são renderizados (e.g. se um enquadramento éhidden oudisplay: none).
execution-while-out-of-viewport: Controla se as tarefas devem ser executadas em enquadramentos enquanto eles estão fora da janela de visualização visível.
fullscreen: Controla se o documento atual é permitido de usarElement.requestFullScreen(). Quando esta política está desabilitada, aPromise retornada rejeita com umTypeErrorDOMException.
geolocation: Controla se o documento atual é permitido de usar a interfaceGeolocation. Quando a política está desabilitada, chamadas paragetCurrentPosition() ewatchPosition() irão causar aoscallbacks da funções serem invocados com umPositionError dePERMISSION_DENIED.
gyroscope: Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interfaceGyroscope.
layout-animations: Controla se o documento atual é permitido de mostrar animações delayout.
legacy-image-formats: Controla se o documento atual é permitido de mostrar imagens em formatos legados.
magnetometer: Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interfaceMagnetometer.
microphone: Controla se o documento atual é permitido de usar entradas de dispositivos de áudio. Quando esta política está desabilitada, aPromise retornada peloMediaDevices.getUserMedia() irá rejeitar com umNotAllowedError.
midi: Controla se o documento atual é permitido de usar aAPI Web MIDI. Quando esta política está desabilitada, aPromise retornada peloNavigator.requestMIDIAccess() irá rejeitar com umDOMException.
navigation-override: Controla a disponibilidade de mecanismos que habilitam o autor da página a tomar controle sobre o comportamento danavegação espacial (spatial navigation), ou cancelar completamente.
oversized-images: Controla se o documento atual é permitido de baixar e mostrar imagens grandes.
payment: Controla se o documento atual permite o uso daAPI de Requisição de Pagamento (Payment Request API). Quando esta política está desabilitada, o construtorPaymentRequest() irá jogar umSecurityErrorDOMException.
picture-in-picture: Controla se o documento atual permite que um vídeo seja permitido tocar no modoPicture-in-Picture através da API correspondente.
publickey-credentials-get: Controla se o documento atual é permitido de usar aAPI de Autenticação Web para resgatar credenciais de chave pública já guardadas, i.e. através donavigator.credentials.get({publicKey: ..., ...}).
sync-xhr: Controla se o documento atual é permitido de fazer requisições síncronasXMLHttpRequest.
usb: Controla se o documento atual é permitido de usar aAPI WebUSB.
vrDeprecated: Controla se o documento atual é permitido de usar a API WebVR. Quando esta política é desabilitada, oPromise retornado peloNavigator.getVRDisplays() irá rejeitar com umDOMException. Tenha em mente que o padrão WebVR está em processo de ser substituído peloWebXR.
wake-lock: Controla se o documento atual é permitido de usar aAPI Wake Lock para indicar que o dispositivo não deve entrar em modo de economia de energia.
screen-wake-lock: Controla se o documento atual é permitido de utilizar aAPI Screen Wake Lock para indicar se o dispositivo deve ou não escurecer a tela.
xr-spatial-tracking: Controla se o documento atual é permitido ou não de usar aAPI WebXR Device para intergir com a sessão WebXR.

Exemplos

SecureCorp Inc. quer desabilitar o Microfone e as APIs de Geolocalização em sua aplicação. Isso pode ser feito entregando o seguinte cabeçalho de resposta HTTP para definir a política de funcionalidade:

Feature-Policy: microphone 'none'; geolocation 'none'

Especificando a palavra-chave'none' para a lista de origem, as funcionalidades especificadas serão desabilitadas para todos os contextos de navegaçnao (incluindo todos osiframes), independente da origem.