SEOツール

無料 Permissions-Policyヘッダージェネレーター

サイト全体のブラウザ機能アクセスを制御するPermissions-Policy HTTPヘッダーを生成します。

ツールを読み込み中...

Permissions-Policyヘッダージェネレーターとは

Permissions-Policyヘッダー(旧Feature-Policy)は、ページとその埋め込みiframeが使用できるAPIと機能をブラウザに指示します。カメラ、マイク、地理位置情報、フルスクリーン、決済などのブラウザ機能へのアクセスを制御します。これは、複雑なサーバー設定なしで明確なセキュリティベースラインを設定したい静的サイトに便利です。

クイックアンサー

Permissions-Policyを使用して、サイトが必要としないブラウザ機能(カメラ、マイク、地理位置情報、自動再生など)を無効にします。これによりプライバシーが向上し、サードパーティスクリプトが機密性の高いAPIにアクセスするのを防ぎます。

Last updated: 2026-05-25

制限事項

  • Permissions-PolicyはHTTPヘッダーを介したデプロイが必要です。GitHub Pagesや多くの静的ホストはカスタムヘッダーをサポートしていません。その場合はiframeのallow属性を使用するか、ホストがヘッダーを送信するように設定してください。
  • 古いFeature-Policyヘッダーは非推奨です。Permissions-PolicyをサポートするブラウザはFeature-Policyを処理しません。
  • gamepadやscreen-wake-lockなどの一部のブラウザ機能は、まだすべてのブラウザエンジンでサポートされていません。

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

使い方

  1. サイトタイプに合ったプリセットを選択するか、Customを選択して各権限を個別に設定します。
  2. 各ブラウザ機能について、すべてのオリジンで許可する、同一オリジンのみ許可する、または完全に拒否するかを選択します。
  3. 生成されたPermissions-Policyヘッダーをサーバーまたはホスティング設定にコピーします。
  4. iframeごとのオーバーライドが必要な場合は、iframeのallow属性の例を使用します。

主な用途

  • デフォルトですべて拒否のポリシーを設定し、サイトが実際に使用する機能のみを有効にする。
  • メディアリッチな静的サイトでフルスクリーンと自動再生を許可する。
  • Netlify、Cloudflare Pages、Vercel、GitHub Pages用のセキュリティヘッダーを準備する。

用途

使用例

最小限の静的サイトポリシー

カメラ、マイク、決済を使用しないコンテンツサイトは、埋め込みビデオのフルスクリーン以外のすべてを拒否します。ジェネレーターはクリーンな1行のヘッダーを作成します。

メディアツールサイトのポリシー

カメラとフルスクリーンを使用するウェブツールサイトは、埋め込みiframeも含めて他のすべてをブロックしながら、自社オリジンに対してこれらの機能を許可できます。

よくあるミス

  • 制限的なポリシーヘッダーを設定したが、iframeには独自のallow属性オーバーライドが必要なことを忘れる。
  • カメラやマイクなどの機密性の高い機能をワイルドカードですべてのオリジンに許可する。
  • GitHub PagesはカスタムHTTPヘッダーをサポートしていないため、生成されたポリシーはメタタグ経由で配信するか、CDNレベルで適用する必要があることを忘れる。

検証

  1. DevToolsのNetworkパネルでレスポンスヘッダータブを検査し、Permissions-Policyヘッダーが存在することを確認する。
  2. ブロックされた機能が、静かに失敗するのではなく、明確なコンソール警告を生成することをテストする。

FAQ

Permissions-PolicyヘッダージェネレーターのFAQ

Permissions-Policyはメタタグとして配信できますか?

はい。サーバーヘッダーが利用できない場合(GitHub Pagesなど)の代替として、<meta http-equiv="Permissions-Policy" content="...">を使用できます。

Permissions-Policyとiframeのallow属性の違いは何ですか?

Permissions-Policyヘッダーはページとすべての埋め込みコンテキストのデフォルトポリシーを設定します。iframeのallow属性は制限を緩和することしかできず、ページポリシーを超えて厳しくすることはできません。

Permissions-Policyをサポートしているブラウザは?

Chrome 88以上、Edge 88以上、Firefox 116以上、Safari 16.1以上です。古いFeature-Policyヘッダーは非推奨であり、Permissions-Policyに置き換える必要があります。

自分のページやサードパーティスクリプトが必要とする機能を無効にするとどうなりますか?

ブロックされた機能は静かに失敗します。たとえば、Permissions-Policyでカメラを無効にすると、自分のJavaScriptからのgetUserMedia呼び出しもすべて防止されます。マップウィジェットなどのサードパーティ埋め込みも、必要な機能(地理位置情報など)がブロックされると動作しなくなる可能性があります。まずreport-onlyポリシーで開始し、違反を監視し、十分にテストしてから制限を適用してください。

関連ツール

その他のseoツール

こちらもお試しください

こちらもお試しください