SEO-Tools

Kostenlose Permissions-Policy-Header-Generator

Generiere einen Permissions-Policy-HTTP-Header zur Kontrolle des Browser-Feature-Zugriffs auf deiner Website.

Tool wird geladen...

Was ist Permissions-Policy-Header-Generator?

Der Permissions-Policy-Header (ehemals Feature-Policy) teilt dem Browser mit, welche APIs und Funktionen die Seite und ihre eingebetteten iframes verwenden dürfen. Er steuert den Zugriff auf Kamera, Mikrofon, Geolokalisierung, Vollbild, Zahlungen und andere Browserfunktionen. Dies ist nützlich für statische Seiten, die eine klare Sicherheitsbaseline ohne komplexe Serverkonfiguration setzen möchten.

Kurze Antwort

Verwenden Sie Permissions-Policy, um Browserfunktionen wie Kamera, Mikrofon, Geolokalisierung und Autoplay zu deaktivieren, die Ihre Site nicht benötigt. Dies verbessert die Privatsphäre und verhindert, dass Drittanbieter-Skripte auf sensible APIs zugreifen.

Last updated: 2026-05-25

Einschränkungen

Permissions-Policy erfordert die Bereitstellung über einen HTTP-Header. GitHub Pages und viele statische Hosts unterstützen keine benutzerdefinierten Header; verwenden Sie das allow-Attribut auf iframes.
Der ältere Feature-Policy-Header ist veraltet. Browser, die Permissions-Policy unterstützen, verarbeiten Feature-Policy nicht mehr.
Einige Browserfunktionen wie gamepad und screen-wake-lock werden noch nicht in allen Browser-Engines unterstützt.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

So nutzt du dieses Tool

Wählen Sie eine Voreinstellung, die zu Ihrem Site-Typ passt, oder wählen Sie Benutzerdefiniert, um jede Berechtigung einzeln festzulegen.
Für jede Browserfunktion wählen Sie, ob sie für alle Ursprünge, nur für denselben Ursprung oder gar nicht erlaubt sein soll.
Kopieren Sie den generierten Permissions-Policy-Header in Ihre Server- oder Hosting-Konfiguration.
Verwenden Sie die iframe allow-Beispiele, wenn Sie Überschreibungen pro iframe benötigen.

Wofür du es nutzen kannst

Eine Standard-Deny-All-Richtlinie setzen und nur Funktionen aktivieren, die Ihre Site tatsächlich verwendet.
Vollbild und Autoplay für eine medienreiche statische Seite erlauben.
Einen Sicherheits-Header für Netlify, Cloudflare Pages, Vercel oder GitHub Pages vorbereiten.

Anwendungsfalle

Praxisbeispiele

Beispiel

Minimale Static-Site-Richtlinie

Eine Content-Site ohne Kamera, Mikrofon oder Zahlung verweigert alles außer Vollbild für eingebettete Videos. Der Generator erstellt einen sauberen einzeiligen Header.

Beispiel

Media-Tool-Site-Richtlinie

Eine Web-Tool-Site, die Kamera und Vollbild verwendet, kann diese Funktionen für ihren eigenen Ursprung erlauben, während alles andere blockiert wird.

Haufige Fehler

Setzen eines restriktiven Richtlinien-Headers, aber Vergessen, dass iframes ihre eigenen allow-Attribut-Überschreibungen benötigen.
Erlauben sensibler Funktionen wie Kamera oder Mikrofon für alle Ursprünge mit einem Wildcard.
Vergessen, dass GitHub Pages keine benutzerdefinierten HTTP-Header unterstützt, sodass die generierte Richtlinie über ein meta-Tag ausgeliefert werden muss.

Überprüfung

Überprüfen Sie den Response Headers-Tab im DevTools-Network-Panel, um zu bestätigen, dass der Permissions-Policy-Header vorhanden ist.
Testen Sie, ob blockierte Funktionen eine klare Konsolenwarnung erzeugen, anstatt stillschweigend zu fehlschlagen.

FAQ

Fragen zu Permissions-Policy-Header-Generator

Kann Permissions-Policy als meta-Tag ausgeliefert werden?

Ja. Sie können <meta http-equiv="Permissions-Policy" content="..."> als Alternative verwenden, wenn Server-Header nicht verfügbar sind, z.B. auf GitHub Pages.

Was ist der Unterschied zwischen Permissions-Policy und iframe allow?

Der Permissions-Policy-Header setzt die Standardrichtlinie für die Seite und alle eingebetteten Kontexte. Das iframe allow-Attribut kann Einschränkungen nur lockern, nie verschärfen.

Welche Browser unterstützen Permissions-Policy?

Chrome 88+, Edge 88+, Firefox 116+ und Safari 16.1+. Der ältere Feature-Policy-Header ist veraltet und sollte durch Permissions-Policy ersetzt werden.

Was passiert, wenn ich eine Funktion deaktiviere, die meine eigene Seite oder Drittanbieter-Skripte benötigen?

Die blockierte Funktion schlägt stillschweigend fehl. Beginnen Sie mit einer Report-Only-Richtlinie, überwachen Sie Verstöße und testen Sie gründlich, bevor Sie Einschränkungen durchsetzen.

Verwandte Tools