Permissions-Policy Inspect
セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
Permissions-Policy を貼り付けて「解析」。機能ごとの許可状態を表示します。
注意(このツール)
- Permissions-Policy: / Feature-Policy: どちらのヘッダー行でも解析できます。
このページについて
何をするツール?
Permissions-Policy ヘッダーを解析し、camera/geolocation などの機能ごとの許可状態を一覧表示します。
意図しない機能許可/拒否の確認に向きます。
長いヘッダーでも可視化して確認できるため、監査や運用時のチェックに使いやすい形になります。
Permissions-Policy の基本
- 機能(feature)単位で利用可能なオリジンを制限します。
- () は無効、(self) は同一オリジンを許可します。
- 許可する外部オリジンは "(https://example.com)" のように列挙します。
使いどころ
- iframe 埋め込み時に camera/microphone の許可を絞り込みたい
- 第三者タグに不要な機能アクセスをさせたくない
- Feature-Policy からの移行状況を確認したい
書き方のポイント
- 複数オリジンはスペース区切りで列挙します。
- オリジンはダブルクォート付きで書くのが安全です。
- ポリシー全体はカンマ区切りで機能を並べます。
構文(読み方)
基本形は「feature=allowlist」です。allowlist は括弧で囲み、self/none/オリジンを並べます。
- geolocation=() → geolocation を無効化(どこでも許可しない)
- camera=(self) → 同一オリジンのみ camera を許可
- microphone=("https://example.com") → 指定オリジンへ許可
ブラウザ/仕様の差異で解釈が変わる場合があるため、実環境の挙動確認(DevToolsやE2E)も併用がおすすめです。
このツールでできること
- ポリシーの分解表示
- self/none/オリジンの一覧化
- 機能ごとの許可状態を整理
よく見る機能(例)
実際に見かけることが多い機能名の例です。サイトの要件に合わせて「必要最小限」を許可するのが基本です。
- geolocation / camera / microphone
- payment / fullscreen / autoplay
- clipboard-read / clipboard-write
よくある落とし穴
- Feature-Policy と Permissions-Policy の混在で意図しない挙動になる
- 許可したいオリジンの記述ミスで全て拒否になっている
- () の意味を取り違えて許可設定が抜けている
セキュリティ/プライバシー観点
Permissions-Policy は「攻撃対策」そのものではなく、ブラウザ機能へのアクセス面を最小化してリスクを減らすための仕組みです。
- 第三者コンテンツ(iframe/タグ)に不要な機能を使わせない
- 許可範囲を明示して「意図した挙動」を保ちやすくする
運用フロー(おすすめ)
- 現状ヘッダーを貼り付けて可視化 → 意図しない許可がないか確認
- 要件から「必要な機能」だけを列挙して最小化
- ブラウザで実挙動(iframe/サードパーティ含む)を確認
注意(運用)
- 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
- 本番では段階導入とレポート監視を併用してください。
参照仕様
- Permissions Policy (W3C)
- MDN: Permissions-Policy
FAQ
Feature-Policy との違いは?
Feature-Policy の後継が Permissions-Policy です。古いヘッダー名が残っている場合があります。
CSP や CORS と何が違う?
CSPはリソース読み込み制御、CORSはクロスオリジンの読み取り可否、Permissions-Policyはブラウザ機能(カメラ等)の利用可否を制御します。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- CSP Inspect — CSPディレクティブを分解して評価
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
同テーマの導線
セキュリティヘッダー
不足ヘッダーの検出から修正計画まで一気に進める
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
- CSP Builder — テンプレートからCSPを組み立て
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- CSP Inspect — CSPディレクティブを分解して評価
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
Example
geolocation=(), camera=(self)