Permissions-Policy (Feature Policy)

TL;DR: Permissions-Policy adalah header HTTP modern (penerus Feature-Policy) yang mengizinkan atau menolak akses fitur browser seperti kamera, mikrofon, geolokasi, USB, dan FLoC. Browser akan mengabaikan permintaan API dari skrip yang tidak diberi izin. Tujuannya: kunci permukaan serangan dari skrip pihak ketiga atau iframe widget.

Apa itu Permissions-Policy?

Permissions-Policy adalah daftar putih (allowlist) API browser per origin. Header ini memastikan widget chat, iklan, atau skrip analitik tidak bisa diam-diam membuka kamera atau membaca lokasi pengguna meski [CSP](/glosarium/csp-content-security-policy) memperbolehkan domain tersebut. Bersama HSTS dan Referrer-Policy, header ini bagian dari trio keamanan dasar 2026.

Analoginya: CSP itu satpam yang mengecek tamu masuk, sedangkan Permissions-Policy itu daftar ruangan yang boleh dimasuki tamu setelah lolos.

Direktif Populer

Format header: Permissions-Policy: camera=(), microphone=(), geolocation=(self). Sintaks structured headers ini berbeda dari Feature-Policy lama yang sudah deprecated sejak 2022.

Kenapa Penting?

Banyak website bisnis Indonesia memuat puluhan skrip pihak ketiga (chat, pixel, A/B test). Tanpa Permissions-Policy, satu skrip nakal cukup untuk membuka prompt izin yang membuat user kabur. Perlindungan berlapis ini juga jadi salah satu kontrol yang ditandai positif oleh auditor GDPR dan UU PDP. Detail spesifikasi tersedia di W3C Permissions Policy.

Pertanyaan Umum

Apakah Permissions-Policy menggantikan CSP?

Tidak. Keduanya saling melengkapi. CSP mengontrol resource (script, image, frame). Permissions-Policy mengontrol API browser pada resource yang sudah dimuat.

Apakah header ini didukung semua browser?

Chrome, Edge, Opera mendukung penuh. Firefox dan Safari mendukung subset. Direktif yang tidak dikenal akan diabaikan tanpa error, jadi aman dipasang di production.