La notion de "Permissions Policy" est un mécanisme standard qui permet aux applications Web ou aux sites Web de restreindre les API du navigateur qui peuvent être utilisées sur une page Web.

Depuis quelques années, les navigateurs sont devenus de vraies bases applicatives, et permettent de faire bien plus de choses que simplement consulter des informations : obtenir sa géolocalisation, prendre des photos, effectuer des paiements, etc. Or, votre site n'emploie sans doute qu'une petite partie de toutes ces fonctionnalités !

Imaginez par exemple que votre site présente des petites annonces, et que vous employez de manière assez intensive des scripts tiers de retargeting pour du marketing et de la donnée, par exemple par le biais de Google Tag Manager. Si un des fournisseurs de script appelle l'API "camera" du navigateur, cela déclenchera dans le navigateur de vos visiteurs une popin demandant l'accès à leur appareil photo - et vous souhaitez sans doute, pour des raisons d'image de marque, vous prémunir d'une telle situation.

Pour cette raison, il est fortement recommandé de configurer une politique de permissions ("Permissions Policy" en anglais) sur votre site web, afin de limiter la capacité des attaquants à accéder à des informations sensibles sur vos visiteurs. Sans cela, la porte est ouverte à l'emploi abusif d'un grand nombre de fonctionnalités dans les pages de votre site !

La notion de "Permissions Policy" est en cours de développement depuis 2019 et est déjà disponible dans les principaux navigateurs, bien que tous ne prennent pas nécessairement en charge toutes les fonctionnalités de permissions (voir une matrice de compatibilité sur le Mozilla Developer Network pour en savoir plus).

Nous avons dressé une liste de toutes les fonctionnalités actuellement définies qui peuvent être explicitement activées ou restreintes sur une page web. Dans cette liste, nous indiquons comme "expérimentales" celles qui ne sont prises en charge que par l'un des principaux éditeurs de navigateurs.

L'assistant de configuration de Permissions-Policy

Comment installer cette recette sur mon site ?

Pour installer cette recette sur votre site web, suivez les étapes suivantes :

  • Sélectionnez les politiques à appliquer pour chacun des features: choisissez les fonctionnalités que vous souhaitez bloquer ou activer sur votre site. Si vous ne définissez pas de valeur pour une fonctionnalité donnée, alors c'est la politique par défaut de cette fonctionnalité qui s'appliquera
  • Cliquer sur le bouton d'installation: cela créera une nouvelle règle redirection.io en mode "brouillon" dans votre projet
  • Publier les règles: si nécessaire, modifiez la règle ainsi créée - par exemple pour la limiter à une page donnée de votre site - puis publiez-la. La politique de "Permissions-Policy" sera active quelques secondes plus tard.

Découvrez nos recettes !

Les recettes de redirection.io sont une fonctionnalité puissante conçue pour simplifier la mise en œuvre des meilleures pratiques de qualité front-end pour vos sites web. Considérez-les comme un "magasin d'applications" organisé pour votre site, offrant une variété de solutions préconfigurées qui peuvent être installées en un seul clic.

Découvrez toutes les recettes redirection.io