Permissions-Policy: cross-origin-isolated

HTTP の Permissions-Policy ヘッダーの cross-origin-isolated ディレクティブは、現在の文書がオリジン間分離を必要とする API を使用できるかどうかを制御します。

具体的には、定義されたポリシーがこの機能の使用をブロックしている場合、 Window.crossOriginIsolated および WorkerGlobalScope.crossOriginIsolated プロパティは常に false を返し、オリジンが分離された文書にのみ許可される一部の API の使用制限の緩和の恩恵は受けられません。 これは、 Cross-Origin-Embedder-Policy や Cross-Origin-Opener-Policy ヘッダーの有無、およびその権限が許可されていた場合に文書がオリジン同士で分離されていたかどうかに関係なく true になります。

この権限が要求される API には、 SharedArrayBuffer オブジェクトの使用、およびスロットルされていないタイマーを使用した Performance.now() が含まれます。その他の制限付き API については、Window.crossOriginIsolated をご覧ください。

この権限を使用すると、オリジン間分離された文書で実際に必要とされない限り、機密性の高い API へのアクセスを制限することができます。 この機能が許可されていないが、それ以外ではオリジン間分離されていた場合、それ以外の点ではオリジン間分離されたままであることにご注意ください。 例えば、同じオリジンにある文書とのみ閲覧コンテキストグループを共有します。

Permissions-Policy: cross-origin-isolated=<allowlist>;