Construtor de Cabeçalho Permissions-Policy
Rede
O cabeçalho Permissions-Policy é a substituição moderna pra Feature-Policy: diz ao navegador quais funcionalidades sua página e seus iframes estão autorizados a usar. Escolha cada funcionalidade uma de cada vez e escolha se é bloqueada completamente, permitida só pra mesma origem, permitida pra qualquer origem, ou limitada a uma lista personalizada. A ferramenta marca as funcionalidades bem conhecidas (câmera, microfone, geolocalização, pagamento, USB, etc.) por categoria pra você não perder a que te morde. Avisos pegam defaults inseguros — wildcards que entregam a funcionalidade pra cada origem incorporada, listas personalizadas faltando um esquema.
- accelerometerLer acelerômetro
- gyroscopeLer giroscópio
- magnetometerLer magnetômetro
- ambient-light-sensorLer luz ambiente
- cameraUsar a câmera do usuário
- microphoneUsar o microfone do usuário
- autoplayAutoplay mídia
- display-captureCompartilhar tela via getDisplayMedia
- speaker-selectionEscolher dispositivo de áudio de saída
- paymentUsar a Payment Request API
- publickey-credentials-getUsar WebAuthn
- fullscreenIr pra tela cheia programaticamente
- picture-in-pictureAbrir vídeo PIP
- screen-wake-lockManter a tela acordada
- xr-spatial-trackingUsar tracking espacial WebXR
- geolocationLer localização do usuário
- clipboard-readLer conteúdo do clipboard
- clipboard-writeEscrever no clipboard
- usbUsar Web USB
- serialUsar Web Serial
- bluetoothUsar Web Bluetooth
- idle-detectionDetectar usuário idle
- midiUsar Web MIDI
- web-shareUsar a Web Share API
Permissions-Policy: autoplay=(self), fullscreen=(self), picture-in-picture=(self), clipboard-write=(self), web-share=(self)Aplique em cada resposta HTML. Use Report-To + a diretiva `report-uri` (não construída aqui) se você quer que navegadores enviem violações de volta pra um coletor.
Como usar
- Comece com o preset estrito (tudo desligado) e ligue só o que sua página realmente precisa.
- `self` é a resposta certa pra maioria das funcionalidades a nível de página. `*` raramente é a resposta certa — deixa cada iframe usar a funcionalidade.
- Modo personalizado pega uma allowlist de origens (`https://embed.example.com https://other.com`). `self` e `*` são tokens, qualquer outra coisa precisa da origem completa.
Perguntas frequentes
- Permissions-Policy vs Feature-Policy?
- Mesma ideia, nova sintaxe. Feature-Policy usava uma lista separada por espaços de origens por diretiva; Permissions-Policy usa cabeçalhos estruturados `feature=(origin1 origin2)`. Navegadores honram Permissions-Policy agora; sirva ambos durante a janela de transição se você suporta navegadores antigos.
- Por que wildcard `*` é arriscado?
- Wildcard entrega a funcionalidade pra cada iframe aninhado — incluindo incorporações de terceiros que você não confia totalmente. Se um comprometimento de malvertising ou cadeia de suprimentos injeta um iframe, `*` é a diferença entre 'eles podem espionar com a câmera' e 'não podem'.
Ferramentas relacionadas
Inspetor de Endereço IP
Digite um endereço IPv4 ou IPv6 e veja sua classe, scope (privado / público / loopback / link-local), valor decimal, binário, notação reverse-DNS e CIDR /32.
Referência de Portas
Cheat sheet pesquisável de ~60 portas TCP / UDP padrão — de 22 (SSH) e 80 (HTTP) até 6379 (Redis) e 27017 (MongoDB).
Referência de Registros DNS
Cheat sheet pesquisável de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — com exemplos.
Calculadora de Subrede (IPv4 / CIDR)
Parseia CIDR IPv4 em endereço de rede, broadcast, netmask, wildcard, faixa de hosts e classe. Mostra desdobramento binário e status privado/público.
Parser de User Agent
Parseia string User-Agent em navegador, engine, OS, dispositivo e CPU. Detecta 20+ bots incluindo GPTBot, ClaudeBot, PerplexityBot.
Referência de Códigos de Status HTTP
Lista pesquisável de todos os códigos HTTP (1xx-5xx) com resumo, RFC, quando usar e armadilhas comuns.