Permissions-Policy: `cross-origin-isolated` Direktive

Der HTTP-Header Permissions-Policy mit der cross-origin-isolated Direktive steuert, ob das aktuelle Dokument APIs verwenden darf, die cross-origin isolation erfordern.

Insbesondere wird, wenn eine definierte Richtlinie die Verwendung dieser Funktion blockiert, die Eigenschaft Window.crossOriginIsolated und WorkerGlobalScope.crossOriginIsolated immer false zurückgeben. Das Dokument wird somit nicht von reduzierten Einschränkungen bei der Nutzung einiger APIs profitieren, die nur für cross-origin isolierte Dokumente zugänglich sind. Dies gilt unabhängig von den Cross-Origin-Embedder-Policy und Cross-Origin-Opener-Policy Headers und unabhängig davon, ob das Dokument cross-origin isoliert gewesen wäre, wenn die Erlaubnis erteilt worden wäre.

Zu den APIs, die diese Erlaubnis benötigen, gehört die Verwendung von SharedArrayBuffer Objekten und Performance.now() mit ungedrosselten Timern — siehe Window.crossOriginIsolated für Informationen zu anderen eingeschränkten APIs.

Die Erlaubnis kann genutzt werden, um Einschränkungen für den Zugriff auf die sensiblen APIs aufrechtzuerhalten, es sei denn, sie werden tatsächlich von einem cross-origin isolierten Dokument benötigt. Beachten Sie, dass, wenn die Funktion nicht erlaubt ist, aber ansonsten cross-origin isoliert gewesen wäre, sie in allen anderen Aspekten dennoch cross-origin isoliert bleibt. Zum Beispiel wird es nur eine browsing context group mit Dokumenten des gleichen Ursprungs teilen.

Permissions-Policy: cross-origin-isolated=<allowlist>;