Herramientas SEO

Gratis Generador de cabecera Permissions-Policy

Genera una cabecera HTTP Permissions-Policy para controlar el accesoà las funciones del navegador en tu sitio.

Cargando herramienta...

Qué es Generador de cabecera Permissions-Policy?

El encabezado Permissions-Policy (anteriormente Feature-Policy) le indica al navegador qué APIs y características pueden usar la página y sus iframes incrustados. Controla el acceso a cámara, micrófono, geolocalización, pantalla completa, pago y otras características del navegador. Esto es útil para sitios estáticos que desean establecer una línea base de seguridad clara sin configuración compleja del servidor.

Respuesta rápida

Use Permissions-Policy para deshabilitar las características del navegador — como cámara, micrófono, geolocalización y reproducción automática — que su sitio no necesita. Esto mejora la privacidad y evita que scripts de terceros accedan a APIs sensibles.

Last updated: 2026-05-25

Limitaciones

  • Permissions-Policy requiere despliegue mediante un encabezado HTTP. GitHub Pages y muchos hosts estáticos no soportan encabezados personalizados; use el atributo allow en iframes o configure el host para enviar el encabezado.
  • El encabezado anterior Feature-Policy está obsoleto. Los navegadores que soportan Permissions-Policy ya no procesan Feature-Policy.
  • Algunas características del navegador como gamepad y screen-wake-lock aún no son compatibles en todos los motores de navegador.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Cómo usar esta herramienta

  1. Seleccione un preset que coincida con su tipo de sitio, o elija Personalizado para establecer cada permiso individualmente.
  2. Para cada característica del navegador, elija si permitirla para todos los orígenes, solo el mismo origen, o denegarla por completo.
  3. Copie el encabezado Permissions-Policy generado en la configuración de su servidor o alojamiento.
  4. Use los ejemplos de iframe allow cuando necesite sobrescrituras por iframe.

Para qué puedes usarla

  • Establecer una política predeterminada de denegar todo y solo habilitar las características que su sitio realmente usa.
  • Permitir pantalla completa y reproducción automática para un sitio estático con contenido multimedia.
  • Preparar un encabezado de seguridad para Netlify, Cloudflare Pages, Vercel o GitHub Pages.

Casos de uso

Ejemplos prácticos

Ejemplo

Política mínima para sitio estático

Un sitio de contenido sin cámara, micrófono ni pago deniega todo excepto pantalla completa para videos incrustados. El generador crea un encabezado limpio de una línea.

Ejemplo

Política para sitio de herramientas multimedia

Un sitio de herramientas web que usa cámara y pantalla completa puede permitir esas características para su propio origen mientras bloquea todo lo demás, incluyendo en iframes incrustados.

Errores comunes

  • Establecer un encabezado de política restrictiva pero olvidar que los iframes necesitan sus propias sobrescrituras del atributo allow.
  • Permitir características sensibles como cámara o micrófono para todos los orígenes con un comodín.
  • Olvidar que GitHub Pages no soporta encabezados HTTP personalizados, por lo que la política generada debe entregarse mediante una meta etiqueta o aplicarse a nivel de CDN.

Verificación

  1. Inspeccione la pestaña Response Headers en el panel Network de DevTools para confirmar que el encabezado Permissions-Policy esté presente.
  2. Pruebe que las características bloqueadas generen una advertencia clara en la consola en lugar de fallar silenciosamente.

FAQ

Preguntas sobre Generador de cabecera Permissions-Policy

¿Puede Permissions-Policy entregarse como una meta etiqueta?

Sí. Puede usar <meta http-equiv="Permissions-Policy" content="..."> como alternativa cuando los encabezados del servidor no están disponibles, como en GitHub Pages.

¿Cuál es la diferencia entre Permissions-Policy y iframe allow?

El encabezado Permissions-Policy establece la política predeterminada para la página y todos los contextos incrustados. El atributo iframe allow solo puede relajar restricciones, nunca endurecerlas más allá de la política de la página.

¿Qué navegadores soportan Permissions-Policy?

Chrome 88+, Edge 88+, Firefox 116+ y Safari 16.1+. El encabezado anterior Feature-Policy está obsoleto y debe reemplazarse con Permissions-Policy.

¿Qué sucede si deshabilito una característica que mi propia página o scripts de terceros necesitan?

La característica bloqueada falla silenciosamente. Por ejemplo, deshabilitar la cámara mediante Permissions-Policy previene todas las llamadas getUserMedia incluso desde su propio JavaScript. Las incrustaciones de terceros como un widget de mapas también pueden dejar de funcionar si su característica requerida (geolocalización) está bloqueada. Comience con una política de solo informe, monitoree las violaciones y pruebe a fondo antes de aplicar restricciones.

Herramientas relacionadas

Más herramientas seo

Prueba también

Prueba también