मैनेज करें कि आपके पेज और आपके पेज पर मौजूद तीसरे पक्ष के iframe, ब्राउज़र की सुविधाओं को कैसे ऐक्सेस कर सकते हैं.
अनुमतियों से जुड़ी नीति को पहले सुविधा नीति के नाम से जाना जाता था. इस नीति की मदद से डेवलपर, पेज, उसके iframe, और सबरिसॉर्स के लिए उपलब्ध ब्राउज़र की सुविधाओं को कंट्रोल कर सकता है. इसके लिए, ब्राउज़र के लिए नीतियों का एक सेट तय किया जाता है, ताकि वह लागू हो. ये नीतियां, रिस्पॉन्स हेडर ऑरिजिन सूची में दिए गए ऑरिजिन पर लागू होती हैं. ऑरिजिन सूची में, एक जैसे ऑरिजिन और/या क्रॉस-ऑरिजिन शामिल हो सकते हैं. इससे डेवलपर, ब्राउज़र की सुविधाओं के लिए पहले पक्ष और तीसरे पक्ष के ऐक्सेस को कंट्रोल कर सकता है.
बेहतर सुविधाओं का ऐक्सेस देने का आखिरी फ़ैसला, उपयोगकर्ता का होता है. इसके लिए, उपयोगकर्ता को प्रॉम्प्ट के ज़रिए साफ़ तौर पर अनुमति देनी होगी.
अनुमतियों से जुड़ी नीति की मदद से, टॉप-लेवल साइट यह तय कर सकती है कि वह और उसके तीसरे पक्ष किस तरह का इस्तेमाल करना चाहते हैं. साथ ही, इससे उपयोगकर्ता पर यह तय करने का बोझ कम हो जाता है कि सुविधा को ऐक्सेस करने का अनुरोध मान्य है या नहीं. उदाहरण के लिए, अनुमतियों से जुड़ी नीति के ज़रिए सभी तीसरे पक्षों के लिए जियोलोकेशन की सुविधा को ब्लॉक करके, डेवलपर को इस बात का भरोसा हो सकता है कि किसी तीसरे पक्ष को उपयोगकर्ता की जगह की जानकारी का ऐक्सेस नहीं मिलेगा.
अनुमतियों की नीति में बदलाव
अनुमतियों से जुड़ी नीति को पहले सुविधा नीति के नाम से जाना जाता था. मुख्य सिद्धांत पहले जैसे ही हैं, लेकिन नाम के साथ कुछ अहम बदलाव भी किए गए हैं.
स्ट्रक्चर्ड फ़ील्ड का इस्तेमाल
स्ट्रक्चर्ड फ़ील्ड, एचटीटीपी हेडर फ़ील्ड की वैल्यू को पार्स करने और क्रम तय करने के लिए, सामान्य डेटा स्ट्रक्चर का सेट उपलब्ध कराते हैं. Fastly की ब्लॉग पोस्ट "स्ट्रक्चर्ड हेडर फ़ील्ड की मदद से एचटीटीपी को बेहतर बनाना" से स्ट्रक्चर्ड फ़ील्ड के बारे में ज़्यादा जानें.
geolocation 'self' https://example.com; camera 'none'
geolocation=(self "https://example.com"), camera=()
हेडर को iframe allow
एट्रिब्यूट के साथ जोड़ें
सुविधा के लिए बनी नीति की मदद से, सुविधा को क्रॉस-ऑरिजिन फ़्रेम में जोड़ा जा सकता है. इसके लिए, आपको हेडर ऑरिजिन सूची में ऑरिजिन को जोड़ना होगा या iframe टैग में allow
एट्रिब्यूट जोड़ना होगा. अनुमतियों की नीति का इस्तेमाल करने पर, ऑरिजिन सूची में कोई क्रॉस-ऑरिजिन फ़्रेम जोड़ने पर, उस ऑरिजिन के iframe टैग में allow
एट्रिब्यूट शामिल होना चाहिए.
अगर जवाब में अनुमतियों की नीति का हेडर शामिल नहीं है, तो ऑरिजिन की सूची को *
की डिफ़ॉल्ट वैल्यू माना जाता है. Iframe में allow
एट्रिब्यूट जोड़ने से, इस सुविधा को ऐक्सेस किया जा सकता है.
इसलिए, हम डेवलपर को सुझाव देते हैं कि वे रिस्पॉन्स में अनुमतियों की नीति का हेडर सेट करें. इससे उन क्रॉस-ऑरिजिन iframe को इस सुविधा को ऐक्सेस करने से रोका जा सकेगा जो ऑरिजिन की सूची में नहीं हैं, भले ही allow
मौजूद हो.
सुविधा नीति का इस्तेमाल Chrome 88 के बाद भी किया जा सकता है, लेकिन यह अनुमतियों की नीति के लिए उपनाम के तौर पर काम करती है. सिंटैक्स के अलावा, लॉजिक में कोई अंतर नहीं है. अगर अनुमतियों की नीति और सुविधा नीति, दोनों के हेडर एक साथ इस्तेमाल किए जाते हैं, तो Permissions-Policy
हेडर को ज़्यादा प्राथमिकता दी जाएगी. साथ ही, यह Feature-Policy
हेडर से मिली वैल्यू को ओवरराइट कर देगा.
मैं अनुमतियों से जुड़ी नीति का इस्तेमाल कैसे करूं?
खास जानकारी
इसके बारे में ज़्यादा जानकारी देने से पहले, चलिए एक ऐसी सामान्य स्थिति पर नज़र डालते हैं जहां आपके पास किसी वेबसाइट का मालिकाना हक है. साथ ही, आपको यह कंट्रोल करना है कि आपकी साइट और तीसरे पक्ष का कोड, ब्राउज़र की सुविधाओं का कैसे इस्तेमाल करे.
- आपकी साइट
https://your-site.example
है. - आपकी साइट, एक ही ऑरिजिन (
https://your-site.example
) के लिए, iframe को एम्बेड करती है. - आपकी साइट
https://trusted-site.example
से ऐसा iframe एम्बेड करती है जिस पर आप भरोसा करते हैं. - आपकी साइट पर
https://ad.example
के दिखाए गए विज्ञापन भी दिखते हैं. - आप भौगोलिक स्थान की अनुमति सिर्फ़ अपनी साइट और भरोसेमंद साइट के लिए देना चाहते हैं, न कि विज्ञापन के लिए.
इस मामले में, नीचे दिए गए हेडर का इस्तेमाल करें:
Permissions-Policy: geolocation=(self "https://trusted-site.example")
साथ ही, भरोसेमंद साइट के लिए, allow
एट्रिब्यूट को iframe टैग पर साफ़ तौर पर सेट करें:
<iframe src="https://trusted-site.example" allow="geolocation">
इस उदाहरण में, हेडर ऑरिजिन सूची की मदद से सिर्फ़ आपकी साइट (self
) और trusted-site.example
को जियोलोकेशन सुविधा का इस्तेमाल करने की अनुमति दी गई है. ad.example
को भौगोलिक स्थान का इस्तेमाल करने की अनुमति नहीं है.
- उपयोगकर्ता की सहमति से, आपकी साइट
your-site.example
को भौगोलिक स्थान की सुविधा का इस्तेमाल करने की अनुमति है. - एक ही ऑरिजिन वाले iframe (
your-site.example
) कोallow
एट्रिब्यूट का इस्तेमाल किए बिना, इस सुविधा का इस्तेमाल करने की अनुमति है. - किसी ऐसे सबडोमेन (
subdomain.your-site-example
) से दिखाए गए iframe को इस सुविधा का इस्तेमाल करने से ब्लॉक किया गया है जिसे मूल सूची में नहीं जोड़ा गया था और जिसके लिए अनुमति एट्रिब्यूट को iframe टैग पर सेट किया गया था. अलग-अलग सबडोमेन को एक ही साइट के, लेकिन क्रॉस-ऑरिजिन वाले डोमेन माना जाता है. - क्रॉस-ऑरिजिन iframe (
trusted-site.example
) को ऑरिजिन सूची में जोड़ा गया और जिसके iframe टैग परallow
एट्रिब्यूट सेट किया गया है, उसे इस सुविधा का इस्तेमाल करने की अनुमति है. - ऑरिजिन सूची में,
allow
एट्रिब्यूट के बिना जोड़े गए क्रॉस-ऑरिजिन iframe (trusted-site.example
) को इस सुविधा का इस्तेमाल करने से ब्लॉक किया गया है. - जिस क्रॉस-ऑरिजिन iframe (
ad.example
) को मूल सूची में नहीं जोड़ा गया है उसे इस सुविधा का इस्तेमाल करने से रोक दिया जाता है. भले ही, iframe टैग मेंallow
एट्रिब्यूट शामिल हो.
Permissions-Policy
एचटीटीपी रिस्पॉन्स हेडर
Permissions-Policy: <feature>=(<token>|<origin(s)>)
किसी सुविधा के लिए मंज़ूर किए गए ऑरिजिन सेट करने के लिए, सर्वर से रिस्पॉन्स में Permissions-Policy
हेडर का इस्तेमाल करें. हेडर वैल्यू में टोकन और ऑरिजिन की स्ट्रिंग, एक साथ इस्तेमाल हो सकती हैं. सभी ऑरिजिन के लिए उपलब्ध टोकन *
और एक ही ऑरिजिन के लिए self
होते हैं.
अगर आपका हेडर कई सुविधाओं के लिए है, तो सुविधाओं को कॉमा लगाकर अलग करें. अगर एक से ज़्यादा ऑरिजिन की सूची दी जाती है, तो ऑरिजिन की सूची में हर ऑरिजिन को स्पेस से अलग करें. जिन हेडर में ऐसे ऑरिजिन की सूची होती है जो क्रॉस-ऑरिजिन अनुरोध के तौर पर शामिल हैं, उनके लिए iframe टैग में allow
एट्रिब्यूट शामिल होना चाहिए.
यहां की-वैल्यू पेयर के कुछ उदाहरण दिए गए हैं:
- सिंटैक्स:
[FEATURE]=*
- सभी ऑरिजिन पर लागू होने वाली नीति
- उदाहरण:
geolocation=*
- सिंटैक्स:
[FEATURE]=(self)
- समान-मूल पर लागू नीति
- उदाहरण:
geolocation=(self)
- सिंटैक्स:
[FEATURE]=(self [ORIGIN(s)])
- एक ही ऑरिजिन और बताए गए ऑरिजिन पर लागू नीति
- उदाहरण:
geolocation=(self "https://a.example" "https://b.example")
self
,https://your-site.example
का शॉर्टहैंड है
- सिंटैक्स:
[FEATURE]=([ORIGIN(s)])
- एक ही ऑरिजिन और बताए गए ऑरिजिन पर लागू नीति
- उदाहरण:
geolocation=("https://your-site.example" "https://a.example" "https://b.example")
- इस सिंटैक्स का इस्तेमाल करते समय, किसी एक ऑरिजिन को एम्बेडर का ऑरिजिन होना चाहिए. अगर एम्बेड किए गए पेज को अनुमतियां नहीं दी जाती हैं, तो उस पेज में एम्बेड किए गए iframe भी ब्लॉक कर दिए जाएंगे. भले ही, उन्हें ऑरिजिन सूची में जोड़ा गया हो, क्योंकि अनुमतियों की नीति में अनुमतियां दी जाती हैं.
self
टोकन का भी इस्तेमाल किया जा सकता है.
- सिंटैक्स:
[FEATURE]=()
- सभी ऑरिजिन के लिए सुविधा को ब्लॉक किया गया
- उदाहरण:
geolocation=()
अलग-अलग सबडोमेन और पाथ
https://your-site.example
और https://subdomain.your-site.example
जैसे अलग-अलग सबडोमेन को एक ही साइट के, क्रॉस-ऑरिजिन माना जाता है. इसलिए, ऑरिजिन सूची में कोई सबडोमेन जोड़ने से, उसी साइट के किसी दूसरे सबडोमेन का ऐक्सेस नहीं मिलता. एम्बेड किया गया हर वह सबडोमेन जो इस सुविधा का इस्तेमाल करना चाहता है उसे ऑरिजिन की सूची से अलग से जोड़ना होगा. उदाहरण के लिए, अगर उपयोगकर्ता के ब्राउज़िंग विषयों को सिर्फ़ Permissions-Policy: browsing-topics=(self)
हेडर के साथ एक ही ऑरिजिन को ऐक्सेस करने की अनुमति है, तो उसी साइट के किसी दूसरे सबडोमेन https://subdomain.your-site.example
के iframe के पास विषयों का ऐक्सेस नहीं होगा.
https://your-site.example
और https://your-site.example/embed
जैसे अलग-अलग पाथ को एक ही ऑरिजिन वाला माना जाता है. साथ ही, अलग-अलग पाथ को ऑरिजिन सूची में शामिल करना ज़रूरी नहीं होता.
Iframe allow
एट्रिब्यूट
क्रॉस-ऑरिजिन इस्तेमाल के लिए, सुविधा को ऐक्सेस करने के लिए, iframe को टैग में allow
एट्रिब्यूट की ज़रूरत होती है.
सिंटैक्स: <iframe src="[ORIGIN]" allow="[FEATURE] <'src' | [ORIGIN(s)]"></iframe>
उदाहरण के लिए:
<iframe src="https://trusted-site.example" allow="geolocation">
iframe नेविगेशन को मैनेज करना
डिफ़ॉल्ट रूप से, अगर कोई iframe किसी अन्य ऑरिजिन पर जाता है, तो यह नीति उस ऑरिजिन पर लागू नहीं होती है जिस पर iframe नेविगेट करता है. allow
एट्रिब्यूट में, जिस ऑरिजिन पर iframe को नेविगेट किया जाता है उसे सूची में शामिल करने से, ओरिजनल iframe पर लागू की गई अनुमतियों की नीति उस ऑरिजिन पर लागू हो जाएगी जिस पर iframe को नेविगेट किया जा रहा है.
<iframe src="https://trusted-site.example" allow="geolocation https://trusted-site.example https://trusted-navigated-site.example">
iframe नेविगेशन डेमो पर जाकर, इसे इस्तेमाल किया जा सकता है.
अनुमतियों से जुड़ी नीति को सेट अप करने के उदाहरण
यहां दिए गए सेटअप के उदाहरण डेमो में देखे जा सकते हैं.
सभी ऑरिजिन पर सुविधा की अनुमति दी गई
Permissions-Policy: geolocation=*
<iframe src="https://trusted-site.example" allow="geolocation">
<iframe src="https://ad.example" allow="geolocation">
अगर ऑरिजिन की सूची *
टोकन पर सेट की जाती है, तो इस सुविधा को पेज पर मौजूद सभी ऑरिजिन के लिए इस्तेमाल करने की अनुमति मिलती है. इनमें खुद के और सभी iframe शामिल हैं. इस उदाहरण में, https://your-site.example
से दिखाए जाने वाले सभी कोड और https://trusted-site.example
iframe और https://ad.example
से दिखाए गए कोड के पास उपयोगकर्ता के ब्राउज़र में भौगोलिक जगह की सुविधा का ऐक्सेस है. याद रखें कि अनुमति दें एट्रिब्यूट को, iframe पर भी सेट किया जाना चाहिए. साथ ही, ऑरिजिन को हेडर की ऑरिजिन सूची में भी सेट किया जाना चाहिए.
इस सेट अप को डेमो में देखा जा सकता है.
यह सुविधा सिर्फ़ एक ही ऑरिजिन के लिए इस्तेमाल की जा सकती है
Permissions-Policy: geolocation=(self)
self
टोकन का इस्तेमाल करने पर, जियोलोकेशन का इस्तेमाल सिर्फ़ उन लोगों के लिए किया जा सकता है जिनका ऑरिजिन इस्तेमाल होता है. क्रॉस-ऑरिजिन के पास इस सुविधा का ऐक्सेस नहीं होगा. इस उदाहरण में, सिर्फ़ https://trusted-site.example
(self
) के पास जियोलोकेशन का ऐक्सेस होगा. इस सिंटैक्स का इस्तेमाल तब करें, जब आपको सुविधा सिर्फ़ अपने पेज पर चाहिए, किसी और पेज पर नहीं.
इस सेट अप को डेमो में देखा जा सकता है.
समान ऑरिजिन और खास क्रॉस-ऑरिजिन पर सुविधा की अनुमति दी गई
Permissions-Policy: geolocation=(self "https://trusted-site.example")
इस सिंटैक्स में खुद के (https://your-site.example
) और https://trusted-site.example
, दोनों के लिए भौगोलिक स्थान का इस्तेमाल करने की अनुमति है. iframe टैग में, अनुमति वाले एट्रिब्यूट को साफ़ तौर पर जोड़ना न भूलें. अगर <iframe src="https://ad.example" allow="geolocation">
के साथ कोई अन्य iframe है, तो https://ad.example
को जियोलोकेशन की सुविधा का ऐक्सेस नहीं मिलेगा. उपयोगकर्ता की सुविधा को सिर्फ़ मूल पेज और https://trusted-site.example
के लिए ऐक्सेस मिलेगा, जो ऑरिजिन सूची में मौजूद हैं. साथ ही, iframe टैग में 'अनुमति दें' एट्रिब्यूट की वैल्यू दी गई है.
इस सेट अप को डेमो में देखा जा सकता है.
सुविधा को सभी ऑरिजिन पर ब्लॉक किया गया
Permissions-Policy: geolocation=()
अगर ऑरिजिन की कोई सूची खाली होती है, तो इस सुविधा को सभी ऑरिजिन के लिए ब्लॉक कर दिया जाता है. इस सेट अप को डेमो में देखा जा सकता है.
JavaScript API का इस्तेमाल करना
सुविधा नीति का मौजूदा JavaScript API या तो दस्तावेज़ या एलिमेंट (document.featurePolicy or element.featurePolicy
) में ऑब्जेक्ट के तौर पर मिला है. अनुमतियों के लिए JavaScript API नीति को अब तक लागू नहीं किया गया है.
सुविधाओं के लिए नीति एपीआई का इस्तेमाल, कुछ सीमाओं के साथ, अनुमतियों की नीति की ओर से सेट की गई नीतियों के लिए किया जा सकता है. JavaScript एपीआई को लागू करने से जुड़े बाकी सवाल हैं. साथ ही, लॉजिक को अनुमतियों के एपीआई में ले जाने के लिए, एक सुझाव दिया गया है. अगर आपका कोई विचार है, तो चर्चा में शामिल हों.
featurePolicy.allowsFeature(feature)
- अगर इस सुविधा के डिफ़ॉल्ट ऑरिजिन इस्तेमाल के लिए अनुमति दी गई है, तो
true
दिखाता है. - अनुमतियों की नीति और सुविधा से जुड़ी पिछली नीति में सेट की गई, दोनों नीतियों का व्यवहार एक जैसा होता है
- जब किसी iframe एलिमेंट (
iframeEl.featurePolicy.allowsFeature('geolocation')
) परallowsFeature()
को कॉल किया जाता है, तो दिखाई जाने वाली वैल्यू यह दिखाती है कि iframe पर, 'अनुमति दें' एट्रिब्यूट सेट है या नहीं
featurePolicy.allowsFeature(feature, origin)
- अगर बताए गए ऑरिजिन के लिए सुविधा की अनुमति दी गई हो, तो
true
दिखाता है. - अगर तरीके को
document
पर कॉल किया जाता है, तो इस तरीके से आपको यह नहीं पता चलता है कि सुविधा को किसी खास ऑरिजिन के लिए अनुमति दी गई है या नहीं, जैसा कि सुविधा नीति ने किया है. अब इस तरीके से आपको पता चलता है कि इस सुविधा को उस ऑरिजिन के लिए अनुमति दी जा सकती है. आपको यह जांच करनी होगी कि iframe मेंallow
एट्रिब्यूट सेट है या नहीं. डेवलपर को iframe एलिमेंट परallow
एट्रिब्यूट की एक और जांच करनी होगी, ताकि यह पता चल सके कि तीसरे पक्ष के ऑरिजिन के लिए इस सुविधा की अनुमति है या नहीं.
element
ऑब्जेक्ट वाले iframe में सुविधाएं देखें
ऐसे element.allowsFeature(feature)
का इस्तेमाल किया जा सकता है जो अनुमति वाले एट्रिब्यूट को इस्तेमाल करता है. हालांकि, document.allowsFeature(feature, origin)
में ऐसा नहीं होता.
const someIframeEl = document.getElementById('some-iframe')
const isCameraFeatureAllowed = someIframeEl.featurePolicy.allowsFeature('camera')
featurePolicy.allowedFeatures()
- डिफ़ॉल्ट-ऑरिजिन इस्तेमाल के लिए अनुमति वाली सुविधाओं की सूची दिखाता है.
- अनुमतियों की नीति और सुविधा से जुड़ी नीति के ज़रिए सेट की गई दोनों नीतियों का व्यवहार एक जैसा होता है
- जब संबंधित नोड कोई iframe होता है, तो अनुमति वाले एट्रिब्यूट को ध्यान में रखा जाता है.
featurePolicy.features()
- ब्राउज़र में उपलब्ध सुविधाओं की सूची दिखाता है.
- अनुमतियों की नीति और सुविधा से जुड़ी नीति के ज़रिए सेट की गई दोनों नीतियों का व्यवहार एक जैसा होता है
Chrome DevTools इंटिग्रेशन
देखें कि DevTools में अनुमतियों से जुड़ी नीति कैसे काम करती है.
- Chrome DevTools खोलें.
- हर फ़्रेम की मंज़ूर की गई सुविधाओं और अस्वीकार की गई सुविधाओं को देखने के लिए ऐप्लिकेशन पैनल खोलें.
- साइडबार में जाकर, वह फ़्रेम चुनें जिसकी जांच करनी है. आपको उन सुविधाओं की सूची दिखेगी जिन्हें चुने गए फ़्रेम को इस्तेमाल करने की अनुमति होगी. साथ ही, उन सुविधाओं की सूची भी दिखेगी जिन्हें उस फ़्रेम में ब्लॉक किया गया है.
सुविधा-नीति से माइग्रेशन
अगर Feature-Policy
हेडर का इस्तेमाल किया जा रहा है, तो अनुमतियों से जुड़ी नीति पर माइग्रेट करने के लिए, यह तरीका अपनाएं.
सुविधा नीति के हेडर को अनुमतियों की नीति के हेडर से बदलें
सुविधा से जुड़ी नीति के हेडर, सिर्फ़ Chromium का इस्तेमाल करने वाले ब्राउज़र में काम करते हैं. साथ ही, 'अनुमति नीति' के हेडर Chrome 88 के बाद से काम करते हैं. इसलिए, मौजूदा हेडर को अनुमतियों की नीति से अपडेट करना सुरक्षित है.
Feature-Policy: autoplay *; geolocation 'self'; camera 'self' 'https://trusted-site.example'; fullscreen 'none';
Permissions-Policy: autoplay=*, geolocation=(self), camera=(self "https://trusted-site.example"), fullscreen=()
document.allowsFeature(feature, origin)
के इस्तेमाल से जुड़ी जानकारी अपडेट करें
अगर iframe के लिए मंज़ूर की गई सुविधाएं देखने के लिए document.allowsFeature(feature, origin)
तरीके का इस्तेमाल किया जा रहा है, तो iframe एलिमेंट में अटैच किए गए allowsFeature(feature)
तरीके का इस्तेमाल करें, न कि document
वाला तरीका. element.allowsFeature(feature)
तरीका अनुमति दें एट्रिब्यूट के लिए है, जबकि document.allowsFeature(feature, origin)
में ऐसा नहीं है.
document
से सुविधा के ऐक्सेस की जांच की जा रही है
document
को बेस नोड के तौर पर इस्तेमाल करना जारी रखने के लिए, आपको iframe टैग पर allow
एट्रिब्यूट की एक और जांच करनी होगी.
<iframe id="some-iframe" src="https://example.com" allow="camera"></iframe>
Permissions-Policy: camera=(self "https://example.com")
const isCameraPolicySet = document.featurePolicy.allowsFeature('camera', 'https://example.com')
const someIframeEl = document.getElementById('some-iframe')
const hasCameraAttributeValue = someIframeEl.hasAttribute('allow')
&& someIframeEl.getAttribute('allow').includes('camera')
const isCameraFeatureAllowed = isCameraPolicySet && hasCameraAttributeValue
हमारा सुझाव है कि document
का इस्तेमाल करके मौजूदा कोड को अपडेट करने के बजाय, पिछले उदाहरण की तरह ही element
ऑब्जेक्ट पर allowsFeature()
को कॉल करें.
रिपोर्टिंग एपीआई
Reporting API, वेब ऐप्लिकेशन के लिए एक जैसा तरीके से शिकायत करने का एक तरीका उपलब्ध कराता है. साथ ही, अनुमतियों से जुड़ी नीति के उल्लंघनों के लिए Reporting API, एक्सपेरिमेंट के तौर पर उपलब्ध सुविधा के तौर पर उपलब्ध है.
अगर आपको इस प्रयोग के लिए दी गई सुविधा की जांच करनी है, तो सिलसिलेवार तरीके से निर्देश दें का पालन करें और chrome://flags/#enable-experimental-web-platform-features
में फ़्लैग करें. फ़्लैग चालू करके, आप ऐप्लिकेशन टैब में DevTools में अनुमतियों से जुड़ी नीति के उल्लंघन देख सकते हैं:
नीचे दिया गया उदाहरण दिखाता है कि Reporting API हेडर कैसे बनाया जा सकता है:
Reporting-Endpoints: main-endpoint="https://reports.example/main", default="https://reports.example/default"
Content-Security-Policy: script-src 'self'; object-src 'none'; report-to main-endpoint;
Document-Policy: document-write=?0; report-to=main-endpoint;
मौजूदा तरीके से लागू करने में, ऊपर दिए गए उदाहरण की तरह 'डिफ़ॉल्ट' नाम के एंडपॉइंट को कॉन्फ़िगर करके, उस फ़्रेम में होने वाले किसी भी उल्लंघन से, नीति के उल्लंघन की रिपोर्ट पाई जा सकती हैं. सबफ़्रेम को अपने खुद के रिपोर्टिंग कॉन्फ़िगरेशन की ज़रूरत होगी.
ज़्यादा जानें
अनुमतियों से जुड़ी नीति के बारे में ज़्यादा जानने के लिए, यहां दिए गए संसाधन देखें: