Permissions-Policyヘッダー生成ツール｜Webサイトのセキュリティを強化するHTTPヘッダーを簡単生成

Webサイトのセキュリティを向上させるためのHTTPレスポンスヘッダー「Permissions-Policy」を対話的に生成するツールです。Web開発者やサーバー管理者が、特定のブラウザ機能（カメラ、マイク、位置情報など）の使用をオリジン単位で細かく制御するポリシーを、構文を覚えることなく迅速に作成できます。

💡 ツール概要

• 直感的なポリシー設定: 制御したい機能を選択し、許可レベル（None, Self, All, Custom）を選ぶだけで、リアルタイムにヘッダー文字列が生成されます。
• 主要な機能に対応: カメラ、マイク、位置情報、フルスクリーン、決済API、WebUSBなど、セキュリティ上重要となる主要なWeb APIのポリシーを個別に設定可能です。
• 多様な出力形式: 生成したポリシーを、Rawテキスト形式のほか、Nginx, Apache, Node.js (Express) の設定ファイルにそのまま貼り付けられる形式で出力できます。
• カスタムオリジン指定: self (同一オリジン) や * (全許可) といった基本的な指定に加え、特定の外部オリジン（例: https://example.com）を任意に指定することも可能です。

🧐 よくある質問

Q. Feature-Policyヘッダーとの違いは何ですか？

A. Permissions-PolicyはFeature-Policyヘッダーの後継仕様です。構文がより整理され、構造化された値を取るように変更されました。後方互換性のため両方のヘッダーを送信することも可能ですが、現在ではPermissions-Policyの使用が推奨されています。

Q. iframe内のコンテンツに対してもポリシーは適用されますか？

A. はい、適用されます。このツールで生成したヘッダーは、ページ全体のデフォルトポリシーとして機能します。iframe内のコンテンツに特定の機能を許可したい場合は、<iframe>タグのallow属性を併用して、個別に権限を委譲する必要があります。

📚 Permissions-Policyヘッダーの豆知識

Permissions-Policyは、ウェブサイトが利用できるブラウザの機能を明示的に宣言するためのHTTPセキュリティヘッダーです。サードパーティのスクリプトやiframeによって、意図せずカメラ、マイク、位置情報といった強力な機能が利用されるのを防ぎ、ユーザーのプライバシーとサイトのセキュリティを保護する重要な役割を担います。例えば、自サイトではカメラ機能を使わない場合、camera=()と設定することで、万が一悪意のあるスクリプトが埋め込まれても、ブラウザレベルでカメラへのアクセスをブロックできます。Content Security Policy (CSP) と並び、現代のWebアプリケーションに設定が強く推奨されるヘッダーの一つです。