Obtén información para permitir o denegar el uso de una función de Privacy Sandbox en la página.
Descripción general de la política de permisos
La política de permisos es un mecanismo de plataforma web que permite que una página controle el acceso a sus funciones. Con la Política de Permisos, una página puede permitir o rechazar una función en la página de nivel superior y en iframes de origen cruzado incorporados.
Al responder a la solicitud del navegador, el encabezado de respuesta de la página puede definir las políticas que se aplicarán en la página. Además, la etiqueta iframe define el atributo allow cuando es necesario para habilitar la función en el iframe (si el elemento superior también tiene permiso). Los permisos se delegan del elemento superior al secundario, y el elemento secundario de un iframe recibirá los permisos del marco superior.
La política de permisos funciona junto con el encabezado de respuesta y el atributo allow en los iframes. La función solo está permitida si lo hacen tanto el encabezado de respuesta como el atributo allow. Cuando no se proporciona un encabezado de política de permisos, el valor predeterminado de cada política de encabezado de funciones es *. Cuando no se define el atributo allow de un iframe, se establece de forma predeterminada el valor predeterminado de la lista de entidades permitidas.
Si la lista de entidades permitidas predeterminada es *, la función estará disponible para la página de nivel superior y para todos los iframes de origen cruzado de la página de forma predeterminada. Equivale a <iframe src="some-url" allow="feature *"/> y no es necesario definir el atributo allow en el iframe.
Si el valor es self, el componente solo está disponible en la página de nivel superior (y en los iframes del mismo origen) y no está disponible para los iframes de origen cruzado sin la delegación explícita de la página. Es equivalente a <iframe src="some-url" allow="feature 'self'"/>, en el que self es el origen del incorporaciones. Por lo tanto, se debe definir la etiqueta allow para habilitar la función en un iframe de origen cruzado.
Para obtener más información sobre la Política de Permisos, consulta el siguiente contenido:
- Descripción general para desarrolladores sobre el control de las funciones del navegador con la Política de Permisos - Chrome para Desarrolladores
- Documentación de referencia para desarrolladores sobre la Política de Permisos
- Borrador de trabajo alojado en W3C para la Política de Permisos
Política de Permisos para las funciones de Privacy Sandbox
En la siguiente tabla, se enumeran las APIs de Privacy Sandbox que se controlan con la Política de Permisos:
ß| API | Directiva | Descripción | Lista de entidades permitidas predeterminada |
|---|---|---|---|
|
Informes de atribución
(Guía / Especificaciones) |
attribution-reporting |
Permite el uso de la API de Attribution Reporting | * |
|
Federated Credential Management
(Guía / Especificaciones) |
identity-credentials-get |
Permite obtener un objeto de credencial | self |
| Agregación privada | private-aggregation |
Permite la generación de informes con agregación privada | * |
|
Tokens de estado privado
(Guía/Especificaciones) |
private-state-token-issuance |
Permite solicitar un token |
self
|
private-state-token-redemption |
Permite canjear un token y enviar un registro de canje | self |
|
|
Protected Audience
(Guía / Especificaciones) |
join-ad-interest-group |
Permite agregar un usuario a un grupo de interés para el sitio |
* durante las pruebas
self en el futuro
|
run-ad-auction |
Permite ejecutar una subasta de anuncios. | * |
|
| Almacenamiento compartido | shared-storage |
Permite leer y escribir con el almacenamiento compartido | * |
shared-storage-select-url |
Permite que se ejecute la operación de selección de URL. | * |
|
|
Acceso al almacenamiento
(Guía / Especificaciones) |
storage-access |
Permite el acceso a la API de Storage Access | * |
requestStorageAccessFor
(Guía / Especificaciones) |
top-level-storage-access |
Permite el acceso al acceso de nivel superior a través de requestStorageAccessFor() para los sitios agrupados en un conjunto de sitios web relacionados |
* |
|
Temas
(Guía / Especificaciones) |
browsing-topics |
Permite generar temas para el usuario y leer los temas generados | * |
|
Client Hints de Usuario-Agente
(Guía / Especificaciones) |
Consulta la guía para ver la lista completa de encabezados. | Permite que la sugerencia de cliente especificada esté disponible para el solicitante | Consulta las especificaciones para ver la lista completa de valores predeterminados de la lista de entidades permitidas. |
A diferencia de las cookies de terceros, en las que el propietario de la página no tiene control detallado sobre el modo en que los iframes de terceros utilizan las cookies, una página puede permitir o denegar que la página misma y los terceros de la página utilicen las APIs de Privacy Sandbox mediante la Política de Permisos. Por ejemplo, el propietario de una página, como un publicador, puede usar la Política de Permisos para permitir que terceros específicos ejecuten una subasta de anuncios o impedir que todos los terceros lean los temas del usuario.
Muchas funciones de Privacy Sandbox usan el valor predeterminado de la lista de entidades permitidas de *, que permite que cualquier iframe entre sitios use la función, a menos que esté restringida por la Política de Permisos. El propietario de la página puede anular la política predeterminada y usar su propia política, lo que permite que solo los orígenes especificados de la página usen la función. Ten en cuenta que el comportamiento predeterminado de las cookies se permite en todos los marcos, excepto en los iframes de la zona de pruebas, pero no está cubierto por la política de permisos y la incorporación no puede controlar su uso. *.
Algunas funciones de Privacy Sandbox usan el valor predeterminado de la lista de entidades permitidas de self, que impide que los iframes de origen cruzado usen la función sin una declaración explícita. El propietario de la página debe usar el atributo allow cuando cree iframes de origen cruzado para permitir el acceso a la función. Más adelante, el valor predeterminado de la lista de entidades permitidas de algunas APIs de Privacy Sandbox, como la directiva join-ad-interest-group para Protected Audience, cambiará a self. Es posible que más APIs cambien la lista de entidades permitidas predeterminada a self en el futuro.