Tìm hiểu cách cho phép hoặc từ chối sử dụng tính năng Hộp cát về quyền riêng tư trên trang.
Tổng quan về chính sách về quyền
Chính sách về quyền là một cơ chế nền tảng web cho phép một trang kiểm soát quyền truy cập vào các tính năng trên trang đó. Bằng cách sử dụng Chính sách quyền, một trang có thể cho phép hoặc từ chối một tính năng đối với chính trang cấp cao nhất và các iframe nhiều nguồn gốc được nhúng.
Khi phản hồi yêu cầu của trình duyệt, tiêu đề phản hồi của trang có thể xác định các chính sách sẽ áp dụng trên trang. Ngoài ra, thẻ iframe xác định thuộc tính allow khi cần thiết để bật tính năng này trong iframe (nếu thành phần mẹ cũng có quyền). Các quyền được uỷ quyền từ mẹ sang con và khung con của iframe sẽ nhận được các quyền của khung mẹ.
Chính sách về quyền hoạt động cùng với tiêu đề phản hồi và thuộc tính allow trên iframe. Bạn chỉ có thể dùng tính năng này nếu tiêu đề phản hồi và thuộc tính allow đều cho phép tính năng này. Khi bạn không cung cấp tiêu đề Chính sách quyền, mọi chính sách về tiêu đề tính năng sẽ được đặt mặc định thành *. Khi bạn không xác định thuộc tính allow của iframe, thuộc tính này sẽ mặc định sử dụng giá trị mặc định của danh sách cho phép.
Nếu danh sách cho phép mặc định là *, thì tính năng này sẽ áp dụng cho trang cấp cao nhất và tất cả iframe nhiều nguồn gốc trên trang theo mặc định. Thuộc tính này tương đương với <iframe src="some-url" allow="feature *"/> và bạn không bắt buộc phải xác định thuộc tính allow trên iframe.
Nếu giá trị là self thì tính năng này chỉ có sẵn cho trang cấp cao nhất (và iframe cùng nguồn gốc) và không dùng được cho iframe nhiều nguồn gốc mà không có trang uỷ quyền rõ ràng. Giá trị này tương đương với <iframe src="some-url" allow="feature 'self'"/>, trong đó self là nguồn gốc của trình nhúng. Do đó, bạn phải xác định thẻ allow để bật tính năng này trong iframe nhiều nguồn gốc.
Để tìm hiểu thêm về Chính sách về quyền, hãy xem nội dung sau:
- Thông tin tổng quan dành cho nhà phát triển về Kiểm soát các tính năng của trình duyệt thông qua Chính sách về quyền – Chrome dành cho nhà phát triển
- Tài liệu tham khảo dành cho nhà phát triển về Chính sách về quyền
- Bản nháp công việc do W3C lưu trữ cho Chính sách về quyền
Chính sách về quyền đối với các tính năng của Hộp cát về quyền riêng tư
Bảng sau đây liệt kê các API Hộp cát về quyền riêng tư do Chính sách về quyền kiểm soát:
| API | Chỉ thị | Nội dung mô tả | Danh sách cho phép mặc định |
|---|---|---|---|
| Attribution Reporting | attribution-reporting |
Cho phép sử dụng Attribution Reporting API | * |
| Quản lý thông tin xác thực liên kết | identity-credentials-get |
Cho phép lấy đối tượng thông tin xác thực | self |
| Tổng hợp riêng tư | private-aggregation |
Cho phép báo cáo bằng tính năng Tổng hợp riêng tư | * |
| Protected Audience | join-ad-interest-group |
Cho phép thêm người dùng vào một nhóm mối quan tâm của trang web |
* trong quá trình kiểm thử
self trong tương lai
|
run-ad-auction |
Cho phép chạy phiên đấu giá quảng cáo | * |
|
| Bộ nhớ dùng chung | shared-storage |
Cho phép đọc và ghi bằng Bộ nhớ dùng chung | * |
shared-storage-select-url |
Cho phép thực hiện thao tác Lựa chọn URL | * |
|
| Quyền truy cập vào bộ nhớ | storage-access |
Cho phép truy cập vào Storage Access API | * |
requestStorageAccessFor
|
top-level-storage-access |
Cho phép truy cập cấp cao nhất qua requestStorageAccessFor() đối với các trang web được nhóm trong một Bộ trang web có liên quan |
* |
| Chủ đề | browsing-topics |
Cho phép tạo chủ đề cho người dùng và đọc các chủ đề đã tạo | * |
| Gợi ý ứng dụng tác nhân người dùng | Xem hướng dẫn để biết danh sách đầy đủ các tiêu đề | Cho phép người yêu cầu xem được gợi ý của ứng dụng được chỉ định | Xem thông số kỹ thuật để biết danh sách đầy đủ các giá trị mặc định trong danh sách cho phép |
Không giống như cookie của bên thứ ba, trong đó chủ sở hữu trang không có quyền kiểm soát chi tiết về cách các iframe của bên thứ ba sử dụng cookie, một trang có thể cho phép hoặc không cho phép Privacy Sandbox API (API Hộp cát về quyền riêng tư) được chính trang đó và các bên thứ ba trên trang sử dụng bằng cách dùng Chính sách quyền. Ví dụ: chủ sở hữu trang, chẳng hạn như nhà xuất bản, có thể sử dụng Chính sách về quyền để cho phép các bên thứ ba được chỉ định chạy phiên đấu giá quảng cáo hoặc từ chối tất cả bên thứ ba đọc chủ đề của người dùng.
Nhiều tính năng của Hộp cát về quyền riêng tư sử dụng giá trị danh sách cho phép mặc định là *. Giá trị này cho phép mọi iframe trên nhiều trang web sử dụng tính năng này trừ phi bị hạn chế theo Chính sách về quyền. Chủ sở hữu trang có thể ghi đè chính sách mặc định và dùng chính sách của riêng họ, chỉ cho phép những nguồn gốc được chỉ định trên trang sử dụng tính năng này. Lưu ý rằng hành vi mặc định của cookie sẽ được phép trong tất cả các khung, ngoại trừ iframe hộp cát. Tuy nhiên, cookie này không được áp dụng chính sách về quyền và trình nhúng không thể kiểm soát việc sử dụng cookie. *.
Một số tính năng của Hộp cát về quyền riêng tư sử dụng giá trị danh sách cho phép mặc định là self. Giá trị này không cho phép các iframe nhiều nguồn gốc sử dụng tính năng này mà không cần khai báo rõ ràng. Chủ sở hữu trang phải sử dụng thuộc tính allow khi tạo iframe nhiều nguồn gốc để cho phép truy cập vào tính năng này. Sau đó, giá trị danh sách cho phép mặc định của một số API Hộp cát về quyền riêng tư, chẳng hạn như lệnh join-ad-interest-group cho Protected Audience, sẽ thay đổi thành self. Các API khác có thể chuyển danh sách cho phép mặc định sang self trong tương lai.