Outils SEO

Gratuit Generateur d'en-tete Permissions-Policy

Générez un en-tete HTTP Permissions-Policy pour controler l'acces aux fonctionnalites du navigateur sur votre site.

Chargement de l'outil...

Qu'est-ce que Generateur d'en-tete Permissions-Policy ?

L'en-tête Permissions-Policy (anciennement Feature-Policy) indique au navigateur quelles API et fonctionnalités la page et ses iframes intégrées peuvent utiliser. Il contrôle l'accès à la caméra, au microphone, à la géolocalisation, au plein écran, au paiement et à d'autres fonctionnalités du navigateur. Ceci est utile pour les sites statiques qui souhaitent définir une base de sécurité claire sans configuration serveur complexe.

Réponse rapide

Utilisez Permissions-Policy pour désactiver les fonctionnalités du navigateur -- comme la caméra, le microphone, la géolocalisation et la lecture automatique -- dont votre site n'a pas besoin. Cela améliore la confidentialité et empêche les scripts tiers d'accéder aux API sensibles.

Last updated: 2026-05-25

Limites

Permissions-Policy nécessite un déploiement via un en-tête HTTP. GitHub Pages et de nombreux hôtes statiques ne supportent pas les en-têtes personnalisés ; utilisez l'attribut allow sur les iframes ou configurez l'hôte pour envoyer l'en-tête.
L'ancien en-tête Feature-Policy est obsolète. Les navigateurs qui supportent Permissions-Policy ne traitent plus Feature-Policy.
Certaines fonctionnalités du navigateur comme gamepad et screen-wake-lock ne sont pas encore supportées par tous les moteurs de navigateur.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Comment utiliser cet outil

Sélectionnez un préréglage qui correspond à votre type de site, ou choisissez Personnalisé pour définir chaque permission individuellement.
Pour chaque fonctionnalité du navigateur, choisissez de l'autoriser pour toutes les origines, uniquement la même origine, ou de la refuser complètement.
Copiez l'en-tête Permissions-Policy généré dans votre configuration serveur ou d'hébergement.
Utilisez les exemples iframe allow lorsque vous avez besoin de surcharges par iframe.

A quoi il sert

Définir une politique de refus par défaut et n'activer que les fonctionnalités que votre site utilise réellement.
Autoriser le plein écran et la lecture automatique pour un site statique riche en médias.
Préparer un en-tête de sécurité pour Netlify, Cloudflare Pages, Vercel ou GitHub Pages.

Cas d'usage

Exemples concrets

Exemple

Politique de site statique minimal

Un site de contenu sans caméra, micro ni paiement refuse tout sauf le plein écran pour les vidéos intégrées. Le générateur crée un en-tête propre d'une seule ligne.

Exemple

Politique de site d'outil média

Un site d'outil web qui utilise la caméra et le plein écran peut autoriser ces fonctionnalités pour sa propre origine tout en bloquant tout le reste, y compris dans les iframes intégrées.

Erreurs frequentes

Définir une politique d'en-tête restrictive mais oublier que les iframes ont besoin de leurs propres attributs allow de surcharge.
Autoriser des fonctionnalités sensibles telles que la caméra ou le microphone pour toutes les origines avec un joker.
Oublier que GitHub Pages ne supporte pas les en-têtes HTTP personnalisés, donc la politique générée doit être délivrée via une balise meta ou appliquée au niveau du CDN.

Vérification

Inspectez l'onglet Response Headers dans le panneau Network de DevTools pour confirmer que l'en-tête Permissions-Policy est présent.
Testez que les fonctionnalités bloquées génèrent un avertissement clair dans la console plutôt que d'échouer silencieusement.

FAQ

Questions sur Generateur d'en-tete Permissions-Policy

Permissions-Policy peut-elle être délivrée comme une balise meta ?

Oui. Vous pouvez utiliser <meta http-equiv='Permissions-Policy' content='...'> comme alternative lorsque les en-têtes serveur ne sont pas disponibles, comme sur GitHub Pages.

Quelle est la différence entre Permissions-Policy et iframe allow ?

L'en-tête Permissions-Policy définit la politique par défaut pour la page et tous les contextes intégrés. L'attribut iframe allow ne peut que assouplir les restrictions, jamais les renforcer au-delà de la politique de la page.

Quels navigateurs supportent Permissions-Policy ?

Chrome 88+, Edge 88+, Firefox 116+ et Safari 16.1+. L'ancien en-tête Feature-Policy est obsolète et doit être remplacé par Permissions-Policy.

Que se passe-t-il si je désactive une fonctionnalité dont ma propre page ou des scripts tiers ont besoin ?

La fonctionnalité bloquée échoue silencieusement. Par exemple, désactiver la caméra via Permissions-Policy empêche tous les appels getUserMedia même depuis votre propre JavaScript. Des intégrations tierces comme un widget de carte peuvent également cesser de fonctionner si leur fonctionnalité requise (géolocalisation) est bloquée. Commencez par une politique report-only, surveillez les violations et testez minutieusement avant d'appliquer des restrictions.

Outils lies