Permissions-Policy: cross-origin-isolated

Der HTTP-Header Permissions-Policy mit der Direktive cross-origin-isolated steuert, ob das aktuelle Dokument APIs verwenden darf, die cross-origin isolation erfordern.

Konkret wird, wenn eine definierte Richtlinie die Nutzung dieses Features blockiert, die Eigenschaft Window.crossOriginIsolated und WorkerGlobalScope.crossOriginIsolated immer false zurückgeben, und das Dokument profitiert nicht von reduzierten Beschränkungen bei der Nutzung einiger APIs, die nur Dokumenten mit cross-origin isolation gewährt werden. Dies gilt unabhängig von den Cross-Origin-Embedder-Policy und Cross-Origin-Opener-Policy Headern, und ob das Dokument cross-origin isoliert gewesen wäre, wenn die Erlaubnis erteilt worden wäre.

Die APIs, die diese Berechtigung erfordern, umfassen die Verwendung von SharedArrayBuffer Objekten und Performance.now() mit nicht gedrosselten Timern — siehe Window.crossOriginIsolated für Informationen über andere eingeschränkte APIs.

Die Berechtigung kann verwendet werden, um Einschränkungen für den Zugriff auf die sensiblen APIs aufrechtzuerhalten, es sei denn, sie werden tatsächlich von einem cross-origin isolierten Dokument benötigt. Beachten Sie, dass, wenn das Feature nicht erlaubt ist, es ansonsten jedoch cross-origin isoliert gewesen wäre, es in allen anderen Aspekten immer noch cross-origin isoliert ist. Zum Beispiel wird es nur eine Browsing-Kontext-Gruppe mit Dokumenten im selben Ursprung teilen.

Permissions-Policy: cross-origin-isolated=<allowlist>;