瞭解如何在網頁上允許或拒絕使用 Privacy Sandbox 功能。
權限政策總覽
權限政策是一種網路平台機制,可讓網頁控管頁面上功能的存取權,透過權限政策,頁面可以允許或拒絕頂層頁面本身以及內嵌的跨來源 iframe。
回應瀏覽器的要求時,網頁的回應標頭可定義要套用到網頁上的政策。此外,iframe 標記也會定義 allow 屬性,以便在 iframe 中啟用這項功能 (如果父項也具有權限)。權限會從上層委派給下層,iFrame 的下層會取得上層頁框的權限。
權限政策可與回應標頭和 iframe 的 allow 屬性搭配使用。只有回應標頭和 allow 屬性兩者都允許時,才能使用這項功能。如果沒有提供權限政策標頭,則每個功能標頭政策都會預設為 *。如未定義 iframe 的 allow 屬性,則該屬性會預設為預設的許可清單值。
如果預設的許可清單為 *,則根據預設,頂層頁面和網頁上的所有跨來源 iframe 都可使用這項功能。等同於 <iframe src="some-url" allow="feature *"/>,且不必在 iframe 上定義 allow 屬性。
如果值為 self,表示這項功能僅適用於頂層網頁 (以及相同來源 iframe),而且在未由頁面明確委派的情況下,不適用於跨來源 iframe。等同於 <iframe src="some-url" allow="feature 'self'"/>,其中 self 是嵌入器來源。因此,您必須定義 allow 標記,才能在跨來源 iframe 中啟用這項功能。
如要進一步瞭解權限政策,請參閱下列內容:
- 開發人員總覽:使用權限政策控管瀏覽器功能 - Chrome for Developers
- 權限政策的開發人員參考文件
- W3C 代管工作草稿 (適用權限政策)
Privacy Sandbox 功能的權限政策
下表列出受權限政策控管的 Privacy Sandbox API:
報告| API | 指令 | 說明 | 預設許可清單 |
|---|---|---|---|
| 歸因報表 | attribution-reporting |
允許使用 Attribution Reporting API | * |
| 聯合憑證管理 | identity-credentials-get |
允許取得憑證物件 | self |
| 私人匯總資料 | private-aggregation |
允許使用私人匯總功能回報資料 | * |
|
私密狀態權杖
(指南/規格) |
private-state-token-issuance |
允許要求權杖 |
self
|
private-state-token-redemption |
允許兌換代碼及傳送兌換記錄 | self |
|
| Protected Audience | join-ad-interest-group |
允許將使用者加入網站的興趣群組 |
* (測試期間)
self未來
|
run-ad-auction |
允許執行廣告競價 | * |
|
|
共用儲存空間
(規格) |
shared-storage |
允許透過共用儲存空間讀取及寫入 | * |
shared-storage-select-url |
允許執行網址選取作業 | * |
|
| 儲存空間存取權 | storage-access |
允許存取 Storage Access API | * |
requestStorageAccessFor
|
top-level-storage-access |
允許透過 requestStorageAccessFor() 存取相關網站集中網站的頂層存取權 |
* |
| 主題 | browsing-topics |
可以為使用者產生主題,並讀取產生的主題 | * |
| 使用者代理程式用戶端提示 | 請參閱指南完整清單 | 允許要求者使用指定用戶端提示 | 請參閱預設許可清單值完整清單的規格 |
與第三方 Cookie 不同,網頁擁有者無法進一步控管第三方 iframe 如何使用 Cookie,網頁可以使用權限政策,允許或拒絕網頁本身和網頁上的第三方使用 Privacy Sandbox API。舉例來說,網頁擁有者 (例如發布商) 可利用權限政策,允許特定第三方執行廣告競價,或是拒絕所有第三方讀取使用者的主題。
許多 Privacy Sandbox 功能都使用預設的 * 許可清單值,允許所有跨網站 iframe 使用這項功能 (除非權限政策有所限制)。網頁擁有者可以覆寫預設政策並使用自己的政策,僅允許網頁上的特定來源使用這項功能。請注意,除了沙箱 iframe 以外,所有頁框都可接受 Cookie 的預設行為,但 Cookie 的預設行為不在權限政策的適用範圍內,而且嵌入程式無法控管 Cookie 的使用行為。*。
部分 Privacy Sandbox 功能使用預設的 self 許可清單值,在沒有明確宣告的情況下,拒絕跨來源 iframe 使用這項功能。網頁擁有者必須在建立跨來源 iframe 時使用 allow 屬性,才能啟用這項功能。我們之後會把部分 Privacy Sandbox API 的預設許可清單值 (例如 Protected Audience 的 join-ad-interest-group 指令) 變更為 self。日後可能會有更多 API 將預設許可清單切換為 self。