17370845950

Feature-Policy是HTML5引入的安全机制，仅通过HTTP响应头或iframe的allow属性设置，HTML4完全不支持；2025年起被Permissions-Policy取代，但语法兼容，旧版浏览器仍支持Feature-Policy。

Feature-Policy 是 HTML5 引入的响应式安全机制，用于控制嵌入内容（如 ）能使用哪些浏览器 API；而 HTML4 完全不支持该机制——它没有对应语法、无浏览器实现、也无任何等效替代方案。

怎么在 HTML5 中设置 Feature-Policy

实际可用的方式只有两种：HTTP 响应头或 的 allow 属性。页面级的 或全局策略声明无效，现代浏览器已忽略。

• Feature-Policy 响应头已废弃，2025 年起被 Permissions-Policy 取代，但大多数浏览器仍兼容旧名（推荐直接用新名）
• 对内嵌 iframe，必须显式通过 allow 属性声明所需功能，例如：
• 允许值是空格分隔的特性列表，每个特性可带布尔值或源列表，如：microphone 'self' https://api.example.com
• 未声明的特性默认禁用，包括 geolocation、camera、accelerometer 等敏感 API

Permissions-Policy: geolocation=(self), microphone=(), fullscreen=(self "https://trusted.com")

Permissions-Policy 和 Feature-Policy 的兼容性差异

Chrome 93+、Edge 93+、Safari 16.4+ 已完全切换至 Permissions-Policy；Firefox 102+ 支持但默认仅对 iframe 生效。旧版 Feature-Policy 在 Chrome 80–92 中仍工作，但会触发控制台警告。

• HTTP 头中两个名称可共存，但浏览器只认一个（优先 Permissions-Policy）
• 属性值语法一致，无需修改，但语义上属于 Permissions-Policy 规范
• HTML4 页面即使强行写入 allow 属性，浏览器会静默忽略——解析器不认识该属性

HTML4 真的完全不能控制浏览器功能吗

不能。HTML4 没有标准机制限制 API 调用，所有“控制”都依赖外部手段：

立即学习“前端免费学习笔记（深入）”；

• 服务端通过 X-Frame-Options 或 Content-Security-Policy 限制嵌入，但这不是功能级控制
• JavaScript 层面可检测 navigator.geolocation 是否存在或调用时捕获 SecurityError，但这是运行时兜底，非声明式策略
• 浏览器扩展或企业策略（如 Chrome 管理模板）可强制禁用某 API，但与 HTML 文档无关

真正起作用的策略必须由浏览器在解析阶段介入，而 HTML4 规范里连“策略”这个概念都不存在。