Tìm hiểu cách cho phép hoặc từ chối sử dụng tính năng Hộp cát về quyền riêng tư trên trang.
Tổng quan về chính sách quyền
Chính sách về quyền là một cơ chế trên nền tảng web cho phép một trang kiểm soát quyền truy cập vào các tính năng trên trang. Khi sử dụng Chính sách quyền, một trang có thể cho phép hoặc từ chối một tính năng đối với chính trang cấp cao nhất và các iframe nhiều nguồn gốc được nhúng.
Khi phản hồi yêu cầu của trình duyệt, tiêu đề phản hồi của trang có thể xác định các chính sách sẽ được áp dụng trên trang. Ngoài ra, thẻ iframe xác định thuộc tính allow khi cần thiết để bật tính năng này trong iframe (nếu thành phần mẹ cũng có quyền truy cập). Các quyền được ủy quyền từ phần tử mẹ sang con và con của iframe sẽ nhận được quyền của khung mẹ.
Chính sách quyền hoạt động cùng với tiêu đề phản hồi và thuộc tính allow trên iframe. Tính năng này chỉ được phép nếu được cả tiêu đề phản hồi và thuộc tính allow cho phép. Khi bạn không cung cấp tiêu đề Chính sách về quyền, thì mọi chính sách tiêu đề của tính năng sẽ được đặt mặc định thành *. Khi bạn không xác định thuộc tính allow của iframe thì thuộc tính này sẽ trở thành giá trị mặc định trong danh sách cho phép.
Nếu danh sách cho phép mặc định là *, thì theo mặc định, tính năng này sẽ áp dụng cho trang cấp cao nhất và mọi iframe trên nhiều nguồn gốc trên trang đó. Thuộc tính này tương đương với <iframe src="some-url" allow="feature *"/> và không bắt buộc phải xác định thuộc tính allow trên iframe.
Nếu giá trị là self, thì tính năng này chỉ dùng được cho trang cấp cao nhất (và iframe cùng nguồn gốc) và không dùng được cho iframe trên nhiều nguồn gốc nếu không có trang uỷ quyền rõ ràng. Hàm này tương đương với <iframe src="some-url" allow="feature 'self'"/>, trong đó self là nguồn gốc của trình nhúng. Do đó, bạn phải xác định thẻ allow để bật tính năng này trong iframe trên nhiều nguồn gốc.
Để tìm hiểu thêm về Chính sách quyền, hãy xem nội dung sau:
- Tổng quan dành cho nhà phát triển về Kiểm soát các tính năng của trình duyệt thông qua Chính sách về quyền – Chrome cho nhà phát triển
- Tài liệu tham khảo dành cho nhà phát triển về Chính sách về quyền
- Bản nháp đang hoạt động do W3C lưu trữ cho Chính sách về quyền
Chính sách quyền đối với các tính năng của Hộp cát về quyền riêng tư
Bảng sau đây liệt kê các API Hộp cát về quyền riêng tư chịu sự kiểm soát của Chính sách về quyền:
Tiếng ß| API | Chỉ thị | Mô tả | Danh sách cho phép mặc định |
|---|---|---|---|
| Attribution Reporting | attribution-reporting |
Cho phép sử dụng Attribution Reporting API | * |
| Quản lý thông tin đăng nhập liên kết | identity-credentials-get |
Cho phép lấy đối tượng thông tin xác thực | self |
| Tổng hợp riêng tư | private-aggregation |
Cho phép báo cáo bằng tính năng Tổng hợp riêng tư | * |
|
Mã thông báo trạng thái riêng tư
(Hướng dẫn/Thông số kỹ thuật) |
private-state-token-issuance |
Cho phép yêu cầu mã thông báo |
self
|
private-state-token-redemption |
Cho phép sử dụng mã thông báo và gửi hồ sơ sử dụng ưu đãi | self |
|
| Protected Audience | join-ad-interest-group |
Cho phép thêm người dùng vào nhóm mối quan tâm cho trang web |
* trong quá trình thử nghiệm
self trong tương lai
|
run-ad-auction |
Cho phép chạy phiên đấu giá quảng cáo | * |
|
|
Bộ nhớ dùng chung
(Quy cách) |
shared-storage |
Cho phép đọc và ghi bằng Bộ nhớ dùng chung | * |
shared-storage-select-url |
Cho phép thực thi thao tác Lựa chọn URL | * |
|
| Quyền truy cập vào bộ nhớ | storage-access |
Cho phép truy cập vào Storage Access API | * |
requestStorageAccessFor
|
top-level-storage-access |
Cho phép sử dụng quyền truy cập cấp cao nhất thông qua requestStorageAccessFor() đối với các trang web được nhóm trong một Bộ trang web có liên quan |
* |
| Chủ đề | browsing-topics |
Cho phép tạo chủ đề cho người dùng và đọc các chủ đề được tạo | * |
| Gợi ý ứng dụng tác nhân người dùng | Xem hướng dẫn để biết danh sách đầy đủ các tiêu đề | Cho phép người yêu cầu cung cấp gợi ý về ứng dụng được chỉ định | Xem thông số kỹ thuật để biết danh sách đầy đủ các giá trị danh sách cho phép mặc định |
Không giống như cookie của bên thứ ba mà chủ sở hữu trang không có quyền kiểm soát chi tiết đối với cách các iframe của bên thứ ba sử dụng cookie, trang có thể cho phép hoặc từ chối các API Hộp cát về quyền riêng tư không được chính trang và các bên thứ ba trên trang sử dụng bằng cách sử dụng Chính sách quyền. Ví dụ: chủ sở hữu trang, chẳng hạn như nhà xuất bản, có thể sử dụng Chính sách về quyền để cho phép các bên thứ ba được chỉ định chạy phiên đấu giá quảng cáo hoặc không cho tất cả các bên thứ ba đọc chủ đề của người dùng.
Nhiều tính năng của Hộp cát về quyền riêng tư sử dụng giá trị mặc định trong danh sách cho phép là *, cho phép mọi iframe trên nhiều trang web sử dụng tính năng này, trừ phi bị hạn chế theo Chính sách về quyền. Chủ sở hữu trang có thể ghi đè chính sách mặc định và dùng chính sách của riêng họ để chỉ cho phép các nguồn đã chỉ định trên trang sử dụng tính năng này. Lưu ý rằng hành vi mặc định của cookie cũng được cho phép trong tất cả các khung, ngoại trừ iframe hộp cát. Tuy nhiên, hành vi này không thuộc phạm vi điều chỉnh của chính sách quyền và công cụ nhúng không thể kiểm soát việc sử dụng cookie. *.
Một số tính năng của Hộp cát về quyền riêng tư sử dụng giá trị mặc định trong danh sách cho phép là self, giá trị này từ chối các iframe nhiều nguồn gốc sử dụng tính năng này khi chưa khai báo rõ ràng. Để cho phép truy cập vào tính năng này, chủ sở hữu trang phải sử dụng thuộc tính allow khi tạo iframe trên nhiều nguồn gốc. Sau này, giá trị danh sách cho phép mặc định của một số API Hộp cát về quyền riêng tư, chẳng hạn như lệnh join-ad-interest-group cho Protected Audience, sẽ thay đổi thành self. Các API khác có thể chuyển danh sách cho phép mặc định thành self trong tương lai.