瞭解如何允許或拒絕網頁使用 Privacy Sandbox 功能。
權限政策總覽
權限政策是一種網頁平台機制,可讓網頁控管網頁上功能的存取權。透過權限政策,網頁可以允許或拒絕頂層網頁本身和嵌入的跨來源 iframe 使用某項功能。
在回應瀏覽器要求時,網頁的回應標頭可以定義要套用於網頁的政策。此外,如果需要在 iframe 中啟用功能 (如果父項也有權限),iframe 標記也會定義 allow 屬性。權限會從父項委派給子項,而 iframe 的子項會收到父項框架的權限。
權限政策會與 iframe 上的回應標頭和 allow 屬性搭配運作。只有在回應標頭和 allow 屬性都允許的情況下,才能使用這項功能。如果未提供權限政策標頭,則每項功能標頭政策都會預設為 *。如果 iframe 的 allow 屬性未定義,則該屬性會預設為預設許可清單值。
如果預設許可清單為 *,則系統預設會為頂層網頁和網頁上的所有跨來源 iframe 提供這項功能。這與 <iframe src="some-url" allow="feature *"/> 相同,且不需要在 iframe 上定義 allow 屬性。
如果值為 self,則這項功能僅適用於頂層網頁 (和同來源 iframe),如果沒有網頁明確委派,則無法用於跨來源 iframe。其作用與 <iframe src="some-url" allow="feature 'self'"/> 相同,其中 self 是內嵌來源。因此,您必須定義 allow 標記,才能在跨來源 iframe 中啟用這項功能。
如要進一步瞭解權限政策,請參閱以下內容:
- 開發人員總覽:透過權限政策控制瀏覽器功能 - Chrome 開發人員說明
- 權限政策的開發人員參考說明文件
- 權限政策的 W3C 託管工作草案
Privacy Sandbox 功能的權限政策
下表列出由權限政策控管的 Privacy Sandbox API:
| API | 指令 | 說明 | 預設許可清單 |
|---|---|---|---|
| 歸因報表 | attribution-reporting |
允許使用 Attribution Reporting API | * |
| Federated Credential Management | identity-credentials-get |
允許取得憑證物件 | self |
| 私密匯總 | private-aggregation |
允許使用私密匯總功能製作報表 | * |
|
Private State Tokens
(指南/規格) |
private-state-token-issuance |
允許要求權杖 |
* (Chrome 132 以上版本)
self (舊版)
|
private-state-token-redemption |
允許兌換權杖並傳送兌換記錄 |
* (Chrome 132 以上版本)
self (舊版)
|
|
| Protected Audience | join-ad-interest-group |
允許將使用者加入網站的興趣群組 |
* 在測試期間
self 在未來 |
run-ad-auction |
允許執行廣告競價 | * |
|
|
共用儲存空間 (規格) |
shared-storage |
允許使用共用儲存空間讀取及寫入 | * |
shared-storage-select-url |
允許執行 URL Selection 作業 | * |
|
| 儲存空間存取權 | storage-access |
允許存取 Storage Access API | * |
requestStorageAccessFor
|
top-level-storage-access |
允許透過 requestStorageAccessFor() 存取頂層存取權,適用於在相關網站組中分組的網站 |
* |
| 主題 | browsing-topics |
允許為使用者產生主題,以及讀取產生的主題 | * |
| User-Agent Client Hints | 如需完整標頭清單,請參閱指南 | 允許指定的用戶端提示供要求者使用 | 如要查看預設許可清單值的完整清單,請參閱規格 |
與第三方 Cookie 不同,網頁擁有者無法精細控制第三方 iframe 如何使用 Cookie,但可以透過權限政策,允許或拒絕網頁本身和網頁上的第三方使用 Privacy Sandbox API。舉例來說,發布商等網頁擁有者可以使用權限政策,允許特定第三方執行廣告競價,或禁止所有第三方讀取使用者的主題。
許多 Privacy Sandbox 功能都會使用預設的許可清單值 *,這可讓任何跨網站 iframe 使用該功能,除非受到權限政策的限制。網頁擁有者可以覆寫預設政策並使用自己的政策,只允許網頁上的特定來源使用這項功能。請注意,除了沙箱 iframe 之外,所有框架預設都會允許使用 Cookie,但這項行為不受權限政策規範,且嵌入者無法控制 Cookie 的使用情形。*。
部分 Privacy Sandbox 功能會使用預設的許可清單值 self,這會在未明確宣告的情況下,禁止跨來源 iframe 使用該功能。建立跨來源 iframe 時,網頁擁有者必須使用 allow 屬性,才能允許存取這項功能。日後,部分 Privacy Sandbox API 的預設許可清單值 (例如 Protected Audience 的 join-ad-interest-group 指令) 將變更為 self。日後可能會有更多 API 將預設許可清單切換為 self。