HTMLFeaturePolicy怎么用|浏览器功能控制详解
时间:2026-05-30 13:27:54 482浏览 收藏
HTML的Feature Policy已正式升级为Permissions-Policy,旧头和旧语法在Chrome 100+、Firefox 110+、Safari 16.4+中已被弃用或静默失效——这意味着你精心配置的`Feature-Policy`响应头或`allow`属性可能完全不起作用却毫无提示;真正生效的必须是`Permissions-Policy`响应头(需后端配置,注意`always`标志和逗号分隔)和严格遵循新语法的`allow="perm1=(src); perm2=(src)"`属性(括号、分号、来源声明缺一不可),同时权限调用还强依赖用户手势触发与上下文授权链的完整闭环;稍有疏漏——空格、引号、协议(如`file://`)、甚至DevTools里看似存在的header——都可能导致功能突然崩溃且报错模糊,掌握“控谁、控什么、在哪控”三层逻辑,才是落地浏览器特性管控的关键。
Feature Policy 已正式更名为 Permissions-Policy,旧名 Feature-Policy 在现代浏览器(Chrome 100+、Firefox 110+、Safari 16.4+)中已被弃用或仅作兼容支持——直接写 Feature-Policy 响应头或 allow 属性,大概率被忽略,且不报错,策略“静默失效”。
为什么 Feature-Policy 头在 Chrome 100+ 里不生效
这不是配置漏了,而是浏览器已移除对该 header 的解析逻辑。2021 年起 W3C 正式将规范重命名为 Permissions Policy,所有主流引擎同步更新:HTTP 响应头必须是 Permissions-Policy,