Типовая проблема

Permissions-Policy отсутствует

Severity: Низкий

Permissions-Policy (ранее Feature-Policy) — HTTP-заголовок, ограничивающий доступ к браузерным API: камера, микрофон, геолокация, fullscreen, payment. Без него сторонние iframe могут запрашивать эти разрешения.

Проверить мой сайт

Симптомы

  • Заголовок Permissions-Policy отсутствует
  • AuditGuard: finding 'Permissions-Policy: not set' severity LOW

AuditGuard обнаруживает эту проблему автоматически.

Почему это риск

Без Permissions-Policy встроенные iframe (реклама, виджеты) могут запрашивать доступ к камере, микрофону и геолокации пользователя. Это прямой риск приватности, а также вектор для social engineering (fake system prompt).

Как исправить

Шаг 1

Nginx: add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()" always;

Шаг 2

Значение () запрещает API полностью

Шаг 3

self разрешает только для вашего домена

Шаг 4

https://trusted.example.com — для конкретного домена

Шаг 5

Разрешите только те API, которые реально нужны сайту

Как AuditGuard обнаруживает проблему

AuditGuard проверяет наличие Permissions-Policy в ответных заголовках.

Проверьте ваш сайт прямо сейчас

AuditGuard находит эту проблему и 340+ других автоматически. Результат — за 2–5 минут.

Запустить аудит