ページでのプライバシー サンドボックス機能の使用を許可または拒否する方法を確認してください。
権限ポリシーの概要
権限ポリシーは、ページ上で機能へのアクセスを制御できるようにするウェブ プラットフォームの仕組みです。権限ポリシーを使用して、ページで最上位のページ自体と埋め込まれたクロスオリジン iframe の機能を許可または拒否できます。
ブラウザのリクエストに応答する際に、ページのレスポンス ヘッダーでページに適用されるポリシーを定義できます。また、iframe タグでは必要に応じて allow 属性が定義され、iframe でこの機能を有効にすることができます(親にも権限がある場合)。権限は親から子に委任され、iframe の子は親フレームの権限を受け取ります。
権限ポリシーは、iframe のレスポンス ヘッダーおよび allow 属性と連携して機能します。この機能は、レスポンス ヘッダーと allow 属性の両方で許可されている場合にのみ許可されます。Permissions Policy ヘッダーが指定されていない場合、すべての機能ヘッダー ポリシーはデフォルトで * になります。iframe の allow 属性が定義されていない場合、この属性はデフォルトでデフォルトの許可リスト値になります。
デフォルトの許可リストが * の場合、この機能は最上位のページと、そのページのすべてのクロスオリジン iframe でデフォルトで利用できます。これは <iframe src="some-url" allow="feature *"/> と同等であり、allow 属性を iframe で定義する必要はありません。
値が self の場合、この機能はトップレベル ページ(および同一オリジンの iframe)でのみ使用でき、ページによる明示的な委任がないクロスオリジン iframe では使用できません。これは、self が埋め込み元オリジンである <iframe src="some-url" allow="feature 'self'"/> と同等です。そのため、クロスオリジンの iframe でこの機能を有効にするには、allow タグを定義する必要があります。
権限ポリシーについて詳しくは、以下のコンテンツをご覧ください。
- 権限ポリシーによるブラウザの機能の管理 - Chrome for Developers に関するデベロッパー向けの概要
- 権限ポリシーのデベロッパー向けリファレンス ドキュメント
- 権限ポリシーの作業用ドラフト(W3C がホスト)
プライバシー サンドボックス機能の権限ポリシー
次の表に、権限ポリシーの対象となるプライバシー サンドボックス API を示します。
Γ| API | ディレクティブ | 説明 | デフォルトの許可リスト |
|---|---|---|---|
| アトリビューション レポート | attribution-reporting |
Attribution Reporting API の使用を許可する | * |
| フェデレーション認証情報管理 | identity-credentials-get |
認証情報オブジェクトの取得を許可します。 | self |
| プライベート アグリゲーション | private-aggregation |
プライベート アグリゲーションを使用したレポートが可能 | * |
|
プライベート ステート トークン
(ガイド/仕様) |
private-state-token-issuance |
トークンのリクエストを許可します |
self
|
private-state-token-redemption |
トークンの利用と利用記録の送信を許可する | self |
|
| Protected Audience | join-ad-interest-group |
サイトのインタレスト グループにユーザーを追加できます |
* テスト中
self 以降
|
run-ad-auction |
広告オークションを実施できる | * |
|
|
共有ストレージ
(仕様)。 |
shared-storage |
共有ストレージでの読み取りと書き込みを許可します | * |
shared-storage-select-url |
URL 選択操作の実行を許可します。 | * |
|
| ストレージへのアクセス | storage-access |
Storage Access API へのアクセスを許可する | * |
requestStorageAccessFor
|
top-level-storage-access |
関連ウェブサイト セットにグループ化されたサイトに対して、requestStorageAccessFor() を介したトップレベル アクセスを許可します |
* |
| トピック | browsing-topics |
ユーザーのトピックの生成と、生成されたトピックの読み取りを許可します | * |
| User-Agent Client Hints API | ヘッダーの全一覧については、ガイドをご覧ください。 | リクエスト元が指定されたクライアント ヒントを使用できるようにします。 | デフォルトの許可リスト値の全リストの仕様をご覧ください。 |
ページ所有者がサードパーティの iframe による Cookie の使用方法を細かく制御できないサードパーティ Cookie とは異なり、ページでは権限ポリシーを使用して、ページ自体やそのページのサードパーティによるプライバシー サンドボックス API の使用を許可または拒否できます。たとえば、ページ所有者(パブリッシャーなど)は、権限ポリシーを使用して、指定した第三者に広告オークションの実施を許可したり、ユーザーのトピックの読み取りをすべての第三者に拒否したりできます。
プライバシー サンドボックスの機能の多くは、許可リストのデフォルト値 * を使用します。これにより、権限ポリシーで制限されていない限り、すべてのクロスサイト iframe でこの機能を使用できるようになります。ページ所有者は、デフォルトのポリシーをオーバーライドして独自のポリシーを使用し、ページの指定されたオリジンにのみこの機能の使用を許可できます。Cookie のデフォルトの動作は、サンドボックス化された iframe を除くすべてのフレームで許可されます。ただし、Cookie は権限ポリシーの対象でないため、埋め込みツールでは使用を制御できません。*
一部のプライバシー サンドボックス機能では、許可リストのデフォルト値 self が使用されます。これにより、明示的な宣言がない場合、クロスオリジンの iframe はこの機能を使用できません。ページ所有者は、クロスオリジンの iframe を作成する際に allow 属性を使用して、この機能へのアクセスを許可する必要があります。今後、一部のプライバシー サンドボックス API のデフォルトの許可リスト値が(Protected Audience の join-ad-interest-group ディレクティブなど)self に変更されます。今後、さらに多くの API がデフォルトの許可リストを self に切り替える可能性があります。