今日もつまづいているSuです。
WordPressのセキュリティ設定はしっかりやって、安全にいこう!
と思っていろいろ設定してみました。
最後にテストということで「Security Headers」というサイトでチェックしてみることに。
結果はコレ。
「おぉ~、Aはスゴイ!」と思ったのですが、最後の「Permissions-Policy」だけNGになってました。
聞いたことないなと思って、ググってみると。
レスポンスヘッダに指定する、ブラウザで使える機能のルールのようです。
例えば、位置情報取得APIのgeolocationやcameraの許可とかですね。
未指定の場合は、geolocation=*になることから、無制限で利用可能になるようです。
これは、iframe内の処理に関しても同様に無制限になることから、自サイトで無用な権限を与えられないようにレスポンスヘッダを指定するのが良さそうですね。まあ、iframe事態許可しなければいい話ですけど。
設定方法は以下のようにすれば良さそうですね。
Permissions-Policy: geolocation=(), camera=() 自サイトだけ許可する場合は、selfを入れるようです。
Permissions-Policy: geolocation=(self), camera=(self)