페이지에서 개인 정보 보호 샌드박스 기능 사용을 허용하거나 거부하는 방법을 알아보세요.
권한 정책 개요
권한 정책은 페이지에서 페이지의 기능에 대한 액세스를 제어할 수 있는 웹 플랫폼 메커니즘입니다. 페이지는 권한 정책을 사용하여 최상위 페이지 자체와 삽입된 교차 출처 iframe에 기능을 허용하거나 거부할 수 있습니다.
브라우저의 요청에 응답할 때 페이지의 응답 헤더는 페이지에 적용할 정책을 정의할 수 있습니다. 또한 iframe 태그는 iframe에서 기능을 사용 설정하는 데 필요한 경우 allow 속성을 정의합니다 (상위 요소에도 권한이 있는 경우). 권한은 상위 요소에서 하위 요소로 위임되며 iframe의 하위 요소는 상위 프레임의 권한을 받습니다.
권한 정책은 응답 헤더와 iframe의 allow 속성과 함께 작동합니다. 이 기능은 응답 헤더와 allow 속성에서 모두 허용하는 경우에만 허용됩니다. 권한 정책 헤더가 제공되지 않으면 모든 기능 헤더 정책이 기본적으로 *로 설정됩니다. iframe의 allow 속성이 정의되지 않은 경우 이 속성은 기본적으로 기본 허용 목록 값으로 설정됩니다.
기본 허용 목록이 *인 경우 이 기능은 기본적으로 최상위 페이지와 페이지의 모든 교차 출처 iframe에서 사용할 수 있습니다. <iframe src="some-url" allow="feature *"/>와 동일하며 iframe에 allow 속성을 정의할 필요가 없습니다.
값이 self인 경우 이 기능은 최상위 페이지 (및 동일 출처 iframe)에서만 사용할 수 있으며 페이지의 명시적 위임을 받지 않으면 교차 출처 iframe에서는 사용할 수 없습니다. 이는 self가 삽입자 출처인 경우 <iframe src="some-url" allow="feature 'self'"/>와 같습니다. 따라서 교차 출처 iframe에서 이 기능을 사용 설정하려면 allow 태그를 정의해야 합니다.
권한 정책에 대해 자세히 알아보려면 다음 콘텐츠를 참고하세요.
- 권한 정책으로 브라우저 기능 제어 - 개발자용 Chrome에 관한 개발자 개요
- 권한 정책에 관한 개발자 참조 문서
- 권한 정책의 W3C 호스팅 초안
개인 정보 보호 샌드박스 기능 권한 정책
다음 표에는 권한 정책에 의해 제어되는 개인 정보 보호 샌드박스 API가 나와 있습니다.
| API | 지시문 | 설명 | 기본 허용 목록 |
|---|---|---|---|
| 기여도 보고 | attribution-reporting |
Attribution Reporting API 사용을 허용합니다. | * |
| Federated Credential Management | identity-credentials-get |
사용자 인증 정보 객체를 가져올 수 있습니다. | self |
| Private Aggregation | private-aggregation |
비공개 집계를 사용하여 보고를 허용합니다. | * |
|
비공개 상태 토큰
(가이드/사양) |
private-state-token-issuance |
토큰 요청을 허용합니다. |
Chrome 132 이상: *
이전 버전: self
|
private-state-token-redemption |
토큰을 사용할 수 있고 사용 기록을 전송할 수 있습니다. |
Chrome 132 이상: *
이전 버전: self
|
|
| Protected Audience | join-ad-interest-group |
사이트의 관심분야 그룹에 사용자를 추가할 수 있습니다. |
* 테스트 중
self 향후
|
run-ad-auction |
광고 입찰 실행을 허용합니다. | * |
|
|
공유 저장소
(사양) |
shared-storage |
공유 저장소를 사용한 읽기 및 쓰기 허용 | * |
shared-storage-select-url |
URL 선택 작업을 실행할 수 있습니다. | * |
|
| 저장소 액세스 | storage-access |
Storage Access API에 대한 액세스를 허용합니다. | * |
requestStorageAccessFor
|
top-level-storage-access |
관련 웹사이트 세트에 그룹화된 사이트의 경우 requestStorageAccessFor()를 통해 최상위 액세스에 액세스할 수 있습니다. |
* |
| 주제 | browsing-topics |
사용자의 주제를 생성하고 생성된 주제를 읽을 수 있습니다. | * |
| 사용자 에이전트 클라이언트 힌트 | 헤더의 전체 목록은 가이드를 참고하세요. | 요청자가 지정된 클라이언트 힌트를 사용할 수 있도록 허용 | 기본 허용 목록 값의 전체 목록은 사양을 참고하세요. |
페이지 소유자가 서드 파티 iframe에서 쿠키를 사용하는 방식을 세부적으로 제어할 수 없는 서드 파티 쿠키와 달리 페이지는 권한 정책을 활용하여 페이지 자체와 페이지의 서드 파티에서 개인 정보 보호 샌드박스 API를 사용하도록 허용하거나 거부할 수 있습니다. 예를 들어 게시자와 같은 페이지 소유자는 권한 정책을 사용하여 지정된 서드 파티가 광고 입찰을 실행하도록 허용하거나 모든 서드 파티가 사용자의 주제를 읽지 못하도록 거부할 수 있습니다.
많은 개인 정보 보호 샌드박스 기능은 기본 허용 목록 값 *를 사용합니다. 이 값은 권한 정책에 의해 제한되지 않는 한 교차 사이트 iframe이 기능을 사용할 수 있도록 허용합니다. 페이지 소유자는 기본 정책을 재정의하고 자체 정책을 사용하여 페이지에서 지정된 출처만 이 기능을 사용하도록 허용할 수 있습니다. 쿠키의 기본 동작은 샌드박스 처리된 iframe을 제외한 모든 프레임에서 허용되지만 권한 정책의 적용을 받지 않으며 삽입자가 쿠키의 사용을 제어할 수 없습니다. *
일부 개인 정보 보호 샌드박스 기능은 교차 출처 iframe이 명시적 선언 없이 기능을 사용하지 못하도록 하는 기본 허용 목록 값 self을 사용합니다. 페이지 소유자는 기능에 액세스할 수 있도록 교차 출처 iframe을 만들 때 allow 속성을 사용해야 합니다. 나중에 Protected Audience의 join-ad-interest-group 디렉티브와 같은 일부 개인 정보 보호 샌드박스 API의 기본 허용 목록 값이 self로 변경됩니다. 향후 더 많은 API에서 기본 허용 목록을 self로 전환할 수 있습니다.