Permissions-Policy : directive cross-origin-isolated

L'en-tête HTTP Permissions-Policy avec la directive cross-origin-isolated contrôle si le document courant est autorisé à utiliser des API nécessitant l'isolation inter-origines.

En particulier, lorsqu'une politique définie bloque l'utilisation de cette fonctionnalité, les propriétés Window.crossOriginIsolated et WorkerGlobalScope.crossOriginIsolated retournent toujours false, et le document ne bénéficiera pas de restrictions réduites sur l'utilisation de certaines API qui ne sont accordées qu'aux documents isolés entre les origines. Cela est vrai indépendamment des en-têtes Cross-Origin-Embedder-Policy et Cross-Origin-Opener-Policy, et que le document aurait été isolé entre les origines si la permission avait été accordée.

Les API qui nécessitent cette permission incluent l'utilisation des objets SharedArrayBuffer et Performance.now() avec des minuteries non limitées — voir Window.crossOriginIsolated pour des informations sur d'autres API restreintes.

La permission peut être utilisée pour maintenir des restrictions sur l'accès aux API sensibles à moins qu'elles ne soient réellement nécessaires pour un document isolé entre les origines. Notez que si la fonctionnalité n'est pas autorisée, mais qu'elle aurait autrement été isolée entre les origines, alors à tous égards, elle reste isolée entre les origines. Par exemple, elle ne partagera un groupe de contextes de navigation qu'avec des documents de la même origine.