Penerapan Feature-Policy untuk Mengontrol API dan Fitur yang Digunakan oleh Browser

Sabtu, 13 Juli 2019

Penerapan Feature-Policy untuk Mengontrol API dan Fitur yang Digunakan oleh Browser - Feature Policy tergolong security header yang masih baru sehingga beberapa sysadmin kemungkinan belum mengupdate header security nya. Header security ini merupakan fitur baru yang memungkinkan situs untuk mengontrol fitur dan API mana yang dapat digunakan di peramban.


Feature-Policy

Feature-Policy dibuat untuk memungkinkan pemilik situs untuk mengaktifkan dan menonaktifkan fitur platform web tertentu pada halaman mereka sendiri dan yang mereka embed. Mampu membatasi fitur yang dapat digunakan situs benar-benar bagus, tetapi mampu membatasi fitur yang dapat digunakan oleh situs yang kalian gunakan adalah perlindungan yang lebih baik. Sebagai contoh, kalian bisa menonaktifkan fitur mikrofon milik browser pengguna saat mengunjungi situs kalian.

HTTP Response Header

Mengatur Feature Policy melalui header respons HTTP sama mudahnya dengan mengatur berbagai header keamanan lain yang sudah ada. Kalian hanya perlu memutuskan batasan yang ingin kalian tempatkan di halaman website dan menentukan policy. Contoh sederhana:
Feature-Policy: vibrate 'self'; usermedia *; sync-xhr 'self' https://example.com
Dalam contoh di atas dengan menetapkan vibrate ke self, fitur tersebut akan menonaktifkan semua sumber kecuali milik kita (domain asal). Fitur sync-xhr diperbolehkan oleh domain asal dan https://example.com, dan usermedia diperbolehkan oleh semua asal. Jika kalian pernah mengkonfigurasi header security sebelumnya tentu tidak asing dengan hal-hal diatas. Daftar lengkap fitur yang dapat dibatasi belum final tetapi di sini ada beberapa hal yang dapat Anda batasi:
  • geolocation
  • midi
  • notifications
  • push
  • sync-xhr
  • microphone
  • camera
  • magnetometer
  • gyroscope
  • speaker
  • vibrate
  • fullscreen
  • payment (PaymentRequest)

Control Origins

  • * – This origin will allow the current page and any nested browsing contexts (i.e. iFrames) to use the feature
  • Self – This limits use of the feature to the current page, as well as any other nested browsing contexts, provided they are on the same-origin
  • None – This completely disables the feature on both the page and on any other nested browsing contexts

Dukungan

Saat ini Feature-Policy hanya didukung di browser Chrome dan Safari.

Artikel Terkait Hardening ,Security

Tidak ada komentar:

Posting Komentar