Constructor de Cabecera Permissions-Policy
Red
La cabecera Permissions-Policy es el reemplazo moderno para Feature-Policy: le dice al navegador qué funciones tu página y sus iframes están permitidos a usar. Elige cada función una a la vez y elige si está bloqueada completamente, permitida solo para el mismo origen, permitida para cualquier origen, o limitada a una lista personalizada. La herramienta etiqueta las funciones bien conocidas (cámara, micrófono, geolocalización, pago, USB, etc.) por categoría así no te pierdes la que te muerde. Las advertencias atrapan defaults inseguros — wildcards que entregan la función a cada origen incrustado, listas personalizadas que faltan un esquema.
- accelerometerLeer acelerómetro
- gyroscopeLeer giroscopio
- magnetometerLeer magnetómetro
- ambient-light-sensorLeer luz ambiental
- cameraUsar la cámara del usuario
- microphoneUsar el micrófono del usuario
- autoplayAutoplay media
- display-captureCompartir pantalla vía getDisplayMedia
- speaker-selectionElegir dispositivo de audio de salida
- paymentUsar la API Payment Request
- publickey-credentials-getUsar WebAuthn
- fullscreenIr a pantalla completa programáticamente
- picture-in-pictureAbrir video PIP
- screen-wake-lockMantener la pantalla despierta
- xr-spatial-trackingUsar tracking espacial WebXR
- geolocationLeer ubicación del usuario
- clipboard-readLeer contenido del portapapeles
- clipboard-writeEscribir al portapapeles
- usbUsar Web USB
- serialUsar Web Serial
- bluetoothUsar Web Bluetooth
- idle-detectionDetectar usuario idle
- midiUsar Web MIDI
- web-shareUsar la API Web Share
Permissions-Policy: autoplay=(self), fullscreen=(self), picture-in-picture=(self), clipboard-write=(self), web-share=(self)Aplica en cada respuesta HTML. Usa Report-To + la directiva `report-uri` (no construida aquí) si quieres que los navegadores envíen violaciones de vuelta a un colector.
Cómo usar
- Empieza con el preset estricto (todo apagado) y enciende solo lo que tu página realmente necesita.
- `self` es la respuesta correcta para la mayoría de funciones a nivel de página. `*` rara vez es la respuesta correcta — deja que cada iframe use la función.
- Modo personalizado toma una allowlist de orígenes (`https://embed.example.com https://other.com`). `self` y `*` son tokens, cualquier otra cosa necesita el origen completo.
Preguntas frecuentes
- ¿Permissions-Policy vs Feature-Policy?
- Misma idea, nueva sintaxis. Feature-Policy usaba una lista separada por espacios de orígenes por directiva; Permissions-Policy usa cabeceras estructuradas `feature=(origin1 origin2)`. Los navegadores honran Permissions-Policy ahora; sirve ambas durante la ventana de transición si soportas navegadores viejos.
- ¿Por qué es riesgoso el wildcard `*`?
- El wildcard entrega la función a cada iframe anidado — incluyendo incrustaciones de terceros que no confías completamente. Si un compromiso de malvertising o cadena de suministro inyecta un iframe, `*` es la diferencia entre 'pueden espiar con la cámara' y 'no pueden'.
Herramientas relacionadas
Inspector de Dirección IP
Escribe una dirección IPv4 o IPv6 y ve su clase, scope (privada / pública / loopback / link-local), valor decimal, binario, notación reverse-DNS y CIDR /32.
Referencia de Puertos
Cheat sheet buscable de ~60 puertos TCP / UDP estándar — desde 22 (SSH) y 80 (HTTP) hasta 6379 (Redis) y 27017 (MongoDB).
Referencia de Registros DNS
Hoja de referencia buscable de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — con ejemplos.
Calculadora de Subred (IPv4 / CIDR)
Parsea CIDR IPv4 en dirección de red, broadcast, netmask, wildcard, rango de hosts y clase. Muestra desglose binario y estado privado/público.
Parser de User Agent
Parsea string User-Agent en navegador, engine, OS, dispositivo y CPU. Detecta 20+ bots incluyendo GPTBot, ClaudeBot, PerplexityBot.
Referencia de Códigos de Estado HTTP
Lista buscable de todos los códigos HTTP (1xx-5xx) con resumen, RFC, cuándo usar y trampas frecuentes.