Tìm hiểu cách cho phép hoặc từ chối việc sử dụng một tính năng Hộp cát về quyền riêng tư trên trang.
Tổng quan về Chính sách về quyền
Chính sách quyền là một cơ chế nền tảng web cho phép một trang kiểm soát quyền truy cập vào các tính năng trên trang đó. Khi sử dụng Chính sách về quyền, một trang có thể cho phép hoặc từ chối một tính năng cho chính trang cấp cao nhất và các iframe nhúng trên nhiều nguồn gốc.
Khi phản hồi yêu cầu của trình duyệt, tiêu đề phản hồi của trang có thể xác định các chính sách sẽ được áp dụng trên trang. Ngoài ra, thẻ iframe xác định thuộc tính allow nếu cần để bật tính năng trong iframe (nếu phần tử mẹ cũng có quyền). Quyền được uỷ quyền từ thành phần mẹ đến thành phần con và thành phần con của một iframe sẽ nhận được quyền của khung mẹ.
Chính sách quyền hoạt động cùng với tiêu đề phản hồi và thuộc tính allow trên iframe. Tính năng này chỉ được phép nếu cả tiêu đề phản hồi và thuộc tính allow đều cho phép. Khi bạn không cung cấp tiêu đề Chính sách quyền, thì mọi chính sách tiêu đề tính năng sẽ mặc định là *. Khi thuộc tính allow của iframe không được xác định, thì thuộc tính này sẽ mặc định là giá trị danh sách cho phép mặc định.
Nếu danh sách cho phép mặc định là *, thì tính năng này sẽ có sẵn cho trang cấp cao nhất và tất cả iframe trên nhiều nguồn gốc trên trang theo mặc định. Thuộc tính này tương đương với <iframe src="some-url" allow="feature *"/> và bạn không bắt buộc phải xác định thuộc tính allow trên iframe.
Nếu giá trị là self, thì tính năng này chỉ dành cho trang cấp cao nhất (và iframe cùng nguồn gốc) và không dành cho iframe trên nhiều nguồn gốc nếu trang không uỷ quyền rõ ràng. Giá trị này tương đương với <iframe src="some-url" allow="feature 'self'"/>, trong đó self là nguồn gốc của trình nhúng. Do đó, bạn phải xác định thẻ allow để bật tính năng này trong iframe nhiều nguồn gốc.
Để tìm hiểu thêm về Chính sách quyền, hãy xem nội dung sau:
- Tổng quan dành cho nhà phát triển về Cách kiểm soát các tính năng của trình duyệt bằng Chính sách quyền – Chrome dành cho nhà phát triển
- Tài liệu tham khảo dành cho nhà phát triển về Chính sách về quyền
- Bản thảo đang hoạt động do W3C lưu trữ cho Chính sách về quyền
Chính sách quyền cho các tính năng của Hộp cát về quyền riêng tư
Bảng sau đây liệt kê các API Hộp cát về quyền riêng tư do Chính sách quyền kiểm soát:
| API | Chỉ thị | Mô tả | Danh sách cho phép mặc định |
|---|---|---|---|
| Attribution Reporting | attribution-reporting |
Cho phép sử dụng Attribution Reporting API | * |
| Federated Credential Management | identity-credentials-get |
Cho phép lấy đối tượng thông tin xác thực | self |
| Tổng hợp riêng tư | private-aggregation |
Cho phép báo cáo bằng tính năng Tổng hợp riêng tư | * |
|
Mã thông báo trạng thái riêng tư
(Hướng dẫn/Thông số kỹ thuật) |
private-state-token-issuance |
Cho phép yêu cầu mã thông báo |
* từ Chrome 132 trở lên
self trong các phiên bản trước
|
private-state-token-redemption |
Cho phép sử dụng mã thông báo và gửi bản ghi sử dụng |
* từ Chrome 132 trở lên
self trong các phiên bản trước
|
|
| Protected Audience | join-ad-interest-group |
Cho phép thêm người dùng vào một nhóm mối quan tâm cho trang web |
* trong quá trình kiểm thử
self trong tương lai
|
run-ad-auction |
Cho phép chạy phiên đấu giá quảng cáo | * |
|
| Bộ nhớ dùng chung | shared-storage |
Cho phép đọc và ghi bằng Bộ nhớ dùng chung | * |
shared-storage-select-url |
Cho phép thực thi thao tác Chọn URL | * |
|
| Quyền truy cập vào bộ nhớ | storage-access |
Cho phép truy cập vào API Truy cập bộ nhớ | * |
requestStorageAccessFor
|
top-level-storage-access |
Cho phép truy cập vào quyền truy cập cấp cao nhất thông qua requestStorageAccessFor() cho các trang web được nhóm trong một Nhóm trang web liên quan |
* |
| Chủ đề | browsing-topics |
Cho phép tạo chủ đề cho người dùng và đọc các chủ đề đã tạo | * |
| Thông tin mô tả của ứng dụng tác nhân người dùng | Xem hướng dẫn về danh sách đầy đủ các tiêu đề | Cho phép người yêu cầu có thể sử dụng gợi ý ứng dụng được chỉ định | Xem thông số kỹ thuật của danh sách đầy đủ các giá trị mặc định trong danh sách cho phép |
Không giống như cookie của bên thứ ba, trong đó chủ sở hữu trang không có quyền kiểm soát chi tiết về cách các iframe của bên thứ ba sử dụng cookie, một trang có thể cho phép hoặc từ chối việc chính trang đó và các bên thứ ba trên trang sử dụng API Hộp cát về quyền riêng tư bằng cách sử dụng Chính sách quyền. Ví dụ: chủ sở hữu trang (chẳng hạn như nhà xuất bản) có thể sử dụng Chính sách quyền để cho phép các bên thứ ba được chỉ định chạy phiên đấu giá quảng cáo hoặc từ chối tất cả các bên thứ ba đọc chủ đề của người dùng.
Nhiều tính năng của Hộp cát về quyền riêng tư sử dụng giá trị danh sách cho phép mặc định là *. Giá trị này cho phép mọi iframe trên nhiều trang web sử dụng tính năng trừ phi bị Chính sách quyền hạn chế. Chủ sở hữu trang có thể ghi đè chính sách mặc định và sử dụng chính sách của riêng họ, chỉ cho phép các nguồn gốc được chỉ định trên trang sử dụng tính năng này. Xin lưu ý rằng hành vi mặc định của cookie là được phép trong tất cả các khung, ngoại trừ iframe có thuộc tính hộp cát, nhưng hành vi này không thuộc phạm vi của chính sách quyền và trình nhúng không thể kiểm soát việc sử dụng cookie. *.
Một số tính năng của Hộp cát về quyền riêng tư sử dụng giá trị danh sách cho phép mặc định là self. Giá trị này sẽ từ chối các iframe trên nhiều nguồn gốc sử dụng tính năng mà không có nội dung khai báo rõ ràng. Chủ sở hữu trang phải sử dụng thuộc tính allow khi tạo iframe trên nhiều nguồn gốc để cho phép truy cập vào tính năng này. Sau này, giá trị danh sách cho phép mặc định của một số API Hộp cát về quyền riêng tư, chẳng hạn như lệnh join-ad-interest-group cho Protected Audience, sẽ thay đổi thành self. Trong tương lai, nhiều API có thể chuyển danh sách cho phép mặc định sang self.