Scopri come consentire o negare l'utilizzo di una funzionalità di Privacy Sandbox nella pagina.
Panoramica dei criteri relativi alle autorizzazioni
Le norme relative alle autorizzazioni sono un meccanismo della piattaforma web che consente a una pagina di controllare l'accesso alle funzionalità al suo interno. Utilizzando il criterio di autorizzazione, una pagina può consentire o negare una funzionalità alla pagina di primo livello stessa e agli iframe cross-origin incorporati.
Quando risponde alla richiesta del browser, l'intestazione di risposta della pagina può definire i criteri da applicare alla pagina. Inoltre, il tag iframe definisce l'attributo allow, se necessario, per attivare la funzionalità nell'iframe (se anche il tag principale dispone dell'autorizzazione). Le autorizzazioni vengono delegate dal frame principale a quello secondario e il frame secondario di un iframe riceverà le autorizzazioni del frame principale.
Il criterio delle autorizzazioni funziona in combinazione con l'intestazione di risposta e l'attributo allow negli iframe. La funzionalità è consentita solo se è consentita sia dall'intestazione di risposta sia dall'attributo allow. Se non viene fornita un'intestazione dei criteri di autorizzazione, il valore predefinito di ogni criterio dell'intestazione della funzionalità è *. Quando l'attributo allow di un iframe non è definito, viene utilizzato il valore predefinito della lista consentita.
Se la lista consentita predefinita è *, la funzionalità è disponibile per impostazione predefinita per la pagina di primo livello e per tutti gli iframe cross-origin presenti nella pagina. È equivalente a <iframe src="some-url" allow="feature *"/> e l'attributo allow non è obbligatorio nell'iframe.
Se il valore è self, la funzionalità è disponibile solo per la pagina di primo livello (e per gli iframe con la stessa origine) e non per gli iframe cross-origin senza delega esplicita da parte della pagina. È equivalente a <iframe src="some-url" allow="feature 'self'"/>, dove self è l'origine dell'embedder. Pertanto, il tag allow deve essere definito per attivare la funzionalità in un iframe cross-origin.
Per scoprire di più sulle norme relative alle autorizzazioni, consulta i seguenti contenuti:
- Panoramica per gli sviluppatori su come controllare le funzionalità del browser con i criteri di autorizzazione - Chrome per gli sviluppatori
- Documentazione di riferimento per gli sviluppatori relativa alle Norme relative alle autorizzazioni
- Bozza di lavoro ospitata da W3C per le norme relative alle autorizzazioni
Norme relative alle autorizzazioni per le funzionalità di Privacy Sandbox
La tabella seguente elenca le API Privacy Sandbox controllate dalle norme relative alle autorizzazioni:
| API | Direttiva | Descrizione | Lista consentita predefinita |
|---|---|---|---|
|
Report sull'attribuzione
(Guida / Specifiche) |
attribution-reporting |
Consente l'utilizzo dell'API Attribution Reporting | * |
|
Federated Credential Management
(Guida / Specifiche) |
identity-credentials-get |
Consente di ottenere un oggetto credenziali | self |
|
Private Aggregation
(Guida /Specifiche) |
private-aggregation |
Consente i report utilizzando l'aggregazione privata | * |
|
Token di stato privati
(guida/specifiche) |
private-state-token-issuance |
Consente di richiedere un token |
* da Chrome 132 e versioni successive
self nelle versioni precedenti
|
private-state-token-redemption |
Consente di utilizzare un token e di inviare un record di utilizzo |
* da Chrome 132 e versioni successive
self nelle versioni precedenti
|
|
|
Protected Audience
(Guida / Specifiche) |
join-ad-interest-group |
Consente di aggiungere l'utente a un gruppo di interesse per il sito |
* durante i test
self in futuro
|
run-ad-auction |
Consente di eseguire un'asta di annunci | * |
|
| Spazio di archiviazione condiviso | shared-storage |
Consente la lettura e la scrittura con lo spazio di archiviazione condiviso | * |
shared-storage-select-url |
Consente l'esecuzione dell'operazione di selezione dell'URL | * |
|
|
Accesso allo spazio di archiviazione
(Guida / Specifiche) |
storage-access |
Consente l'accesso all'API Storage Access | * |
requestStorageAccessFor
(Guida / Specifiche) |
top-level-storage-access |
Consente l'accesso all'accesso di primo livello tramite requestStorageAccessFor() per i siti raggruppati in un insieme di siti web correlati |
* |
|
Argomenti
(Guida / Specifiche) |
browsing-topics |
Consente di generare argomenti per l'utente e di leggerli | * |
|
User-Agent Client Hints
(Guida / Specifiche) |
Consulta la guida per l'elenco completo delle intestazioni. | Consente che l'indizio client specificato sia disponibile per l'utente che effettua la richiesta | Consulta le specifiche per l'elenco completo dei valori della lista consentita predefinita. |
A differenza dei cookie di terze parti, per i quali il proprietario della pagina non ha un controllo granulare sull'utilizzo dei cookie da parte degli iframe di terze parti, una pagina può consentire o negare l'utilizzo delle API Privacy Sandbox da parte della pagina stessa e di terze parti sulla pagina utilizzando le norme relative alle autorizzazioni. Ad esempio, un proprietario di una pagina, come un editore, può utilizzare i criteri di autorizzazione per consentire a terze parti specifiche di eseguire un'asta di annunci o impedire a tutte le terze parti di leggere gli argomenti dell'utente.
Molte funzionalità di Privacy Sandbox utilizzano il valore predefinito della lista consentita *, che consente a qualsiasi iframe cross-site di utilizzare la funzionalità, a meno che non sia limitato dalle Norme relative alle autorizzazioni. Il proprietario della pagina può sostituire il criterio predefinito e utilizzare il proprio criterio, consentendo solo alle origini specificate nella pagina di utilizzare la funzionalità. Tieni presente che il comportamento predefinito del cookie è essere consentito in tutti i frame, tranne negli iframe con sandbox, ma non è coperto dal criterio di autorizzazione e il suo utilizzo non può essere controllato dall'utente che ha incorporato il codice. *.
Alcune funzionalità di Privacy Sandbox utilizzano il valore predefinito della lista consentita self, che impedisce agli iframe cross-origin di utilizzare la funzionalità senza una dichiarazione esplicita. Il proprietario della pagina deve utilizzare l'attributo allow quando crea iframe cross-origin per consentire l'accesso alla funzionalità. In un secondo momento, il valore predefinito della lista consentita di alcune API Privacy Sandbox, come la direttiva join-ad-interest-group per Protected Audience, diventerà self. In futuro, altre API potrebbero impostare la lista consentita predefinita su self.