페이지에서 개인 정보 보호 샌드박스 기능 사용을 허용하거나 거부하는 방법을 알아보세요.
권한 정책 개요
권한 정책은 페이지에서 페이지의 기능에 대한 액세스를 제어할 수 있는 웹 플랫폼 메커니즘입니다. 권한 정책을 사용하면 페이지에서 최상위 페이지 자체 및 삽입된 교차 출처 iframe에 대한 기능을 허용하거나 거부할 수 있습니다.
브라우저 요청에 응답할 때 페이지의 응답 헤더는 페이지에 적용할 정책을 정의할 수 있습니다. 또한 iframe 태그는 iframe에서 기능을 사용 설정하는 데 필요한 경우 allow 속성을 정의합니다 (상위 요소에도 권한이 있는 경우). 권한은 상위 요소에서 하위 요소로 위임되며 iframe의 하위 요소는 상위 프레임의 권한을 받습니다.
권한 정책은 iframe의 응답 헤더 및 allow 속성과 함께 작동합니다. 이 기능은 응답 헤더와 allow 속성에서 모두 허용되는 경우에만 허용됩니다. 권한 정책 헤더가 제공되지 않으면 모든 기능 헤더 정책이 기본적으로 *로 설정됩니다. iframe의 allow 속성이 정의되지 않은 경우 이 속성은 기본적으로 기본 허용 목록 값으로 설정됩니다.
기본 허용 목록이 *이면 기본적으로 최상위 페이지 및 페이지의 모든 교차 출처 iframe에서 이 기능을 사용할 수 있습니다. <iframe src="some-url" allow="feature *"/>와 동일하며 allow 속성은 iframe에 정의할 필요가 없습니다.
값이 self인 경우 이 기능은 최상위 페이지 (및 동일 출처 iframe)에서만 사용할 수 있으며 페이지에서 명시적으로 위임하지 않으면 교차 출처 iframe에서는 사용할 수 없습니다. self가 삽입 출처인 <iframe src="some-url" allow="feature 'self'"/>와 동일합니다. 따라서 교차 출처 iframe에서 기능을 사용 설정하려면 allow 태그를 정의해야 합니다.
권한 정책에 관한 자세한 내용은 다음 내용을 참고하세요.
- 권한 정책으로 브라우저 기능 제어 - 개발자용 Chrome에 관한 개발자 개요
- 권한 정책에 관한 개발자 참고 문서
- W3C에서 호스팅하는 권한 정책 작업 초안
개인 정보 보호 샌드박스 기능의 권한 정책
다음 표에는 권한 정책으로 제어되는 개인 정보 보호 샌드박스 API가 나와 있습니다.
ß| API | 지시문 | 설명 | 기본 허용 목록 |
|---|---|---|---|
| 기여도 보고 | attribution-reporting |
Attribution Reporting API를 사용하도록 허용합니다. | * |
| Federated Credential Management | identity-credentials-get |
사용자 인증 정보 객체를 가져올 수 있습니다. | self |
| 비공개 집계 | private-aggregation |
비공개 집계를 사용한 보고 허용 | * |
|
비공개 상태 토큰
(가이드/사양) |
private-state-token-issuance |
토큰 요청 허용 |
self
|
private-state-token-redemption |
토큰 사용 및 사용 기록 전송 허용 | self |
|
| Protected Audience | join-ad-interest-group |
사이트의 관심분야 그룹에 사용자를 추가하도록 허용합니다. |
* 테스트 중
향후 self
|
run-ad-auction |
광고 입찰 실행 허용 | * |
|
|
공유 저장소
(사양) |
shared-storage |
Shared Storage에서 읽기 및 쓰기 허용 | * |
shared-storage-select-url |
URL 선택 작업을 실행할 수 있습니다. | * |
|
| 저장소 액세스 | storage-access |
Storage Access API에 대한 액세스를 허용합니다. | * |
requestStorageAccessFor
|
top-level-storage-access |
관련 웹사이트 세트에 그룹화된 사이트에 대해 requestStorageAccessFor()을(를) 통한 최상위 액세스 권한을 허용합니다. |
* |
| 주제 | browsing-topics |
사용자를 위해 주제를 생성하고 생성된 주제를 읽을 수 있습니다. | * |
| 사용자 에이전트 클라이언트 힌트 | 전체 헤더 목록 가이드를 참고하세요. | 요청자가 지정된 클라이언트 힌트를 사용할 수 있도록 허용합니다. | 기본 허용 목록 값의 전체 목록은 사양을 참고하세요. |
페이지 소유자가 서드 파티 iframe에서 쿠키가 사용되는 방식을 세부적으로 제어할 수 없는 서드 파티 쿠키와 달리 페이지는 권한 정책을 활용하여 페이지 자체와 페이지의 서드 파티가 개인 정보 보호 샌드박스 API를 사용하는 것을 허용하거나 거부할 수 있습니다. 예를 들어 게시자와 같은 페이지 소유자는 권한 정책을 사용하여 지정된 서드 파티가 광고 입찰을 실행하도록 허용하거나, 모든 서드 파티가 사용자의 주제를 읽지 못하도록 거부할 수 있습니다.
많은 개인 정보 보호 샌드박스 기능은 권한 정책에 의해 제한되지 않는 한 모든 교차 사이트 iframe에서 이 기능을 사용할 수 있도록 허용하는 *의 기본 허용 목록 값을 사용합니다. 페이지 소유자는 기본 정책을 재정의하고 자체 정책을 사용하여 페이지에서 지정된 출처만 기능을 사용하도록 허용할 수 있습니다. 쿠키의 기본 동작은 샌드박스 처리된 iframe을 제외한 모든 프레임에서 허용되지만, 권한 정책이 적용되지 않으며 임베딩자가 쿠키의 사용을 제어할 수 없습니다. *
일부 개인 정보 보호 샌드박스 기능은 교차 출처 iframe에서 명시적인 선언 없이 이 기능을 사용하는 것을 거부하는 기본 허용 목록 값 self를 사용합니다. 페이지 소유자는 교차 출처 iframe을 만들 때 allow 속성을 사용하여 기능에 액세스할 수 있어야 합니다. 향후 Protected Audience에 대한 join-ad-interest-group 지시어와 같은 일부 개인 정보 보호 샌드박스 API의 기본 허용 목록 값이 self로 변경됩니다. 추가 API는 향후 기본 허용 목록을 self로 전환할 수 있습니다.