Obtén información para permitir o rechazar el uso de una función de Privacy Sandbox en la página.
Descripción general de la Política de Permisos
La política de permisos es un mecanismo de la plataforma web que permite que una página controle el acceso a sus funciones. Con la Política de Permisos, una página puede permitir o denegar una función a la página de nivel superior y a los iframes de origen cruzado incorporados.
Cuando se responde a la solicitud del navegador, el encabezado de respuesta de la página puede definir las políticas que se aplicarán en ella. Además, la etiqueta de iframe define el atributo allow cuando es necesario para habilitar la función en el iframe (si el elemento superior también tiene permiso). Los permisos se delegan de la unidad superior a la secundaria, y el elemento secundario de un iframe recibirá los permisos del marco superior.
La Política de Permisos funciona junto con el encabezado de respuesta y el atributo allow en los iframes. La función solo se permite si el encabezado de respuesta y el atributo allow lo permiten. Cuando no se proporciona un encabezado de la política de permisos, todas las políticas de encabezado de funciones se establecen de forma predeterminada en *. Cuando no se define el atributo allow de un iframe, el atributo se establece de forma predeterminada en el valor predeterminado de la lista de entidades permitidas.
Si la lista de entidades permitidas predeterminada es *, la función estará disponible para la página de nivel superior y todos los iframes de origen cruzado en la página de forma predeterminada. Es equivalente a <iframe src="some-url" allow="feature *"/> y no es necesario definir el atributo allow en el iframe.
Si el valor es self, la función solo está disponible para la página de nivel superior (y los iframes del mismo origen) y no para los iframes de origen cruzado sin la delegación explícita de la página. Es equivalente a <iframe src="some-url" allow="feature 'self'"/>, en el que self es el origen del incorporador. Por lo tanto, se debe definir la etiqueta allow para habilitar la función en un iframe de origen cruzado.
Para obtener más información sobre la Política de Permisos, consulta el siguiente contenido:
- Descripción general para desarrolladores sobre Cómo controlar las funciones del navegador con la Política de Permisos: Chrome para Desarrolladores
- Documentación de referencia para desarrolladores sobre la Política de Permisos
- Borrador de trabajo alojado por el W3C para la Política de Permisos
Política de Permisos para las funciones de Privacy Sandbox
En la siguiente tabla, se enumeran las APIs de Privacy Sandbox controladas por la Política de Permisos:
| API | Directiva | Descripción | Lista de entidades permitidas predeterminada |
|---|---|---|---|
|
Informes de atribución
(Guía / Especificación) |
attribution-reporting |
Permite el uso de la API de Attribution Reporting | * |
|
Administración de credenciales federadas
(Guía / Especificación) |
identity-credentials-get |
Permite obtener un objeto de credencial | self |
| Private Aggregation | private-aggregation |
Permite generar informes con la agregación privada | * |
|
Tokens de estado privado
(Guía/Especificación) |
private-state-token-issuance |
Permite solicitar un token |
* en Chrome 132 y versiones posteriores
self en versiones anteriores
|
private-state-token-redemption |
Permite canjear un token y enviar un registro de canje. |
* en Chrome 132 y versiones posteriores
self en versiones anteriores
|
|
|
Protected Audience
(Guía / Especificación) |
join-ad-interest-group |
Permite agregar usuarios a un grupo de intereses para el sitio |
* durante las pruebas
self en el futuro
|
run-ad-auction |
Permite ejecutar una subasta de anuncios. | * |
|
| Almacenamiento compartido | shared-storage |
Permite la lectura y escritura con el almacenamiento compartido | * |
shared-storage-select-url |
Permite que se ejecute la operación Selección de URL. | * |
|
|
Acceso al almacenamiento
(Guía / Especificación) |
storage-access |
Permite el acceso a la API de Storage Access | * |
requestStorageAccessFor
(Guía / Especificación) |
top-level-storage-access |
Permite el acceso al nivel superior a través de requestStorageAccessFor() para los sitios agrupados en un conjunto de sitios web relacionados. |
* |
|
Temas
(Guía / Especificación) |
browsing-topics |
Permite generar temas para el usuario y leer los temas generados. | * |
|
Sugerencias de clientes de usuario-agente
(Guía / Especificación) |
Consulta la guía para ver la lista completa de encabezados. | Permite que la sugerencia de cliente especificada esté disponible para el solicitante. | Consulta la especificación para obtener la lista completa de valores de la lista de entidades permitidas predeterminada. |
A diferencia de las cookies de terceros, en las que el propietario de la página no tiene un control detallado sobre cómo los iframes de terceros usan las cookies, una página puede permitir o denegar que la página en sí y los terceros en ella usen las APIs de Privacy Sandbox mediante la Política de Permisos. Por ejemplo, el propietario de una página, como un publicador, puede usar la Política de Permisos para permitir que terceros especificados ejecuten una subasta de anuncios o para denegar que todos los terceros lean los temas del usuario.
Muchas funciones de Privacy Sandbox usan el valor predeterminado de la lista de entidades permitidas de *, que permite que cualquier iframe entre sitios use la función, a menos que la Política de Permisos lo restrinja. El propietario de la página puede anular la política predeterminada y usar su propia política, lo que permite que solo los orígenes especificados en la página usen la función. Ten en cuenta que el comportamiento predeterminado de las cookies es permitirse en todos los marcos, excepto en los iframes en zona de pruebas, pero no está cubierto por la política de permisos y el incorporador no puede controlar su uso. *.
Algunas funciones de Privacy Sandbox usan el valor predeterminado de la lista de entidades permitidas de self, que impide que los iframes de origen cruzado usen la función sin una declaración explícita. El propietario de la página debe usar el atributo allow cuando crea iframes de origen cruzado para permitir el acceso a la función. Más adelante, el valor predeterminado de la lista de entidades permitidas de algunas APIs de Privacy Sandbox, como la directiva join-ad-interest-group para Protected Audience, cambiará a self. Es posible que más APIs cambien la lista de entidades permitidas predeterminada a self en el futuro.