페이지에서 개인 정보 보호 샌드박스 기능 사용을 허용하거나 거부하는 방법을 알아보세요.
권한 정책 개요
권한 정책은 페이지에서 페이지의 기능에 대한 액세스를 제어할 수 있도록 하는 웹 플랫폼 메커니즘입니다. 권한 정책을 사용하면 페이지에서 최상위 페이지 자체 및 삽입된 교차 출처 iframe에 대한 기능을 허용하거나 거부할 수 있습니다.
브라우저의 요청에 응답할 때 페이지의 응답 헤더는 페이지에 적용할 정책을 정의할 수 있습니다. 또한 iframe 태그는 iframe에서 기능을 사용 설정하는 데 필요한 경우 (상위 요소에도 권한이 있는 경우) allow 속성을 정의합니다. 권한은 상위 요소에서 하위 요소로 위임되며, iframe의 하위 요소는 상위 프레임의 권한을 받습니다.
권한 정책은 iframe의 응답 헤더 및 allow 속성과 함께 작동합니다. 이 기능은 응답 헤더와 allow 속성에서 모두 허용하는 경우에만 허용됩니다. 권한 정책 헤더가 제공되지 않는 경우 모든 기능 헤더 정책의 기본값은 *입니다. iframe의 allow 속성을 정의하지 않으면 속성이 기본 허용 목록 값으로 기본 설정됩니다.
기본 허용 목록이 *이면 이 기능은 기본적으로 최상위 페이지 및 페이지의 모든 교차 출처 iframe에서 사용할 수 있습니다. <iframe src="some-url" allow="feature *"/>와 같으며 allow 속성을 iframe에 정의할 필요가 없습니다.
값이 self인 경우 이 기능은 최상위 페이지 (및 동일 출처 iframe)에서만 사용할 수 있으며, 페이지에 명시적으로 위임하지 않는 한 교차 출처 iframe에서는 사용할 수 없습니다. 이는 <iframe src="some-url" allow="feature 'self'"/>와 동일합니다. 여기서 self는 삽입기 출처입니다. 따라서 교차 출처 iframe에서 이 기능을 사용 설정하려면 allow 태그를 정의해야 합니다.
권한 정책에 관해 자세히 알아보려면 다음 콘텐츠를 참고하세요.
- 권한 정책으로 브라우저 기능 제어 - 개발자용 Chrome에 관한 개발자 개요
- 권한 정책에 관한 개발자 참조 문서
- W3C에서 호스팅하는 권한 정책 작업 초안
개인 정보 보호 샌드박스 기능 관련 권한 정책
다음 표에는 권한 정책에 따라 제어되는 개인 정보 보호 샌드박스 API가 나와 있습니다.
| API | 지시어 | 설명 | 기본 허용 목록 |
|---|---|---|---|
| 기여도 보고 | attribution-reporting |
Attribution Reporting API를 사용하도록 허용합니다. | * |
| Federated Credential Management | identity-credentials-get |
사용자 인증 정보 객체를 가져올 수 있습니다. | self |
|
비공개 집계
(사양 |
private-aggregation |
비공개 집계를 사용한 보고 허용 | * |
| Protected Audience | join-ad-interest-group |
사이트의 관심분야 그룹에 사용자를 추가하도록 허용합니다. |
* 향후 테스트
self
|
run-ad-auction |
광고 입찰 실행 허용 | * |
|
|
공유 저장소
(사양) |
shared-storage |
공유 저장소를 사용하여 읽기 및 쓰기 허용 | * |
shared-storage-select-url |
URL 선택 작업을 실행할 수 있습니다. | * |
|
| 저장소 액세스 | storage-access |
Storage Access API에 대한 액세스를 허용합니다. | * |
requestStorageAccessFor
|
top-level-storage-access |
관련 웹사이트 세트로 그룹화된 사이트에 대해 requestStorageAccessFor()을(를) 통한 최상위 액세스 권한을 허용합니다. |
* |
| 주제 | browsing-topics |
사용자를 위한 주제를 생성하고 생성된 주제를 읽을 수 있습니다. | * |
| 사용자 에이전트 클라이언트 힌트 | 전체 헤더 목록에 대한 가이드를 참고하세요. | 요청자가 지정된 클라이언트 힌트를 사용할 수 있도록 허용합니다. | 기본 허용 목록 값의 전체 목록 사양을 참고하세요. |
페이지 소유자가 서드 파티 iframe에서 쿠키를 사용하는 방식을 세부적으로 제어할 수 없는 서드 파티 쿠키와 달리, 페이지에서는 권한 정책을 활용하여 페이지 자체 및 페이지의 서드 파티가 개인 정보 보호 샌드박스 API를 사용하는 것을 허용하거나 거부할 수 있습니다. 예를 들어 게시자와 같은 페이지 소유자는 권한 정책을 사용하여 지정된 제3자가 광고 입찰을 실행하도록 허용하거나 모든 제3자가 사용자의 주제를 읽지 못하도록 거부할 수 있습니다.
많은 개인 정보 보호 샌드박스 기능에서 기본 허용 목록 값인 *을 사용하여 권한 정책에 의해 제한되지 않는 한 모든 교차 사이트 iframe에서 이 기능을 사용할 수 있습니다. 페이지 소유자는 기본 정책을 재정의하고 자체 정책을 사용하여 페이지에 지정된 출처만 이 기능을 사용하도록 허용할 수 있습니다. 쿠키의 기본 동작은 샌드박스 처리된 iframe을 제외한 모든 프레임에서 허용되지만, 권한 정책이 적용되지 않으며 삽입기에서 쿠키 사용을 제어할 수 없습니다. *.
일부 개인 정보 보호 샌드박스 기능은 기본 허용 목록 값 self를 사용합니다. 이 값은 교차 출처 iframe에서 명시적인 선언 없이 기능을 사용하지 못하도록 거부합니다. 페이지 소유자는 교차 출처 iframe을 만들 때 allow 속성을 사용하여 기능에 대한 액세스를 허용해야 합니다. 나중에 Protected Audience의 join-ad-interest-group 지시어와 같은 일부 개인 정보 보호 샌드박스 API의 기본 허용 목록 값이 self로 변경됩니다. 향후 더 많은 API가 기본 허용 목록을 self로 전환할 수 있습니다.