Permissions-Policyヘッダージェネレーターとは
Permissions-Policyヘッダー(旧Feature-Policy)は、ページとその埋め込みiframeが使用できるAPIと機能をブラウザに指示します。カメラ、マイク、地理位置情報、フルスクリーン、決済などのブラウザ機能へのアクセスを制御します。これは、複雑なサーバー設定なしで明確なセキュリティベースラインを設定したい静的サイトに便利です。
クイックアンサー
Permissions-Policyを使用して、サイトが必要としないブラウザ機能(カメラ、マイク、地理位置情報、自動再生など)を無効にします。これによりプライバシーが向上し、サードパーティスクリプトが機密性の高いAPIにアクセスするのを防ぎます。
Last updated: 2026-05-25
制限事項
- Permissions-PolicyはHTTPヘッダーを介したデプロイが必要です。GitHub Pagesや多くの静的ホストはカスタムヘッダーをサポートしていません。その場合はiframeのallow属性を使用するか、ホストがヘッダーを送信するように設定してください。
- 古いFeature-Policyヘッダーは非推奨です。Permissions-PolicyをサポートするブラウザはFeature-Policyを処理しません。
- gamepadやscreen-wake-lockなどの一部のブラウザ機能は、まだすべてのブラウザエンジンでサポートされていません。
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
使い方
- サイトタイプに合ったプリセットを選択するか、Customを選択して各権限を個別に設定します。
- 各ブラウザ機能について、すべてのオリジンで許可する、同一オリジンのみ許可する、または完全に拒否するかを選択します。
- 生成されたPermissions-Policyヘッダーをサーバーまたはホスティング設定にコピーします。
- iframeごとのオーバーライドが必要な場合は、iframeのallow属性の例を使用します。
主な用途
- デフォルトですべて拒否のポリシーを設定し、サイトが実際に使用する機能のみを有効にする。
- メディアリッチな静的サイトでフルスクリーンと自動再生を許可する。
- Netlify、Cloudflare Pages、Vercel、GitHub Pages用のセキュリティヘッダーを準備する。