HTTP Permissions-Policy accelerometer

Typ

Die accelerometer-Direktive steuert den Zugriff auf die Accelerometer Sensor API zur Messung von Beschleunigungskräften auf drei Achsen.

Syntax

Die Direktive definiert eine Allowlist für Ursprünge, die auf Beschleunigungssensoren zugreifen dürfen.

http 
Permissions-Policy: accelerometer=(self)
Permissions-Policy: accelerometer=(self "https://trusted.com")
Permissions-Policy: accelerometer=()

Direktiven

Die Direktive unterstützt Standard-Allowlist-Werte für präzise Zugriffssteuerung.

self
Erlaubt Accelerometer-Zugriff nur für das Hauptdokument des gleichen Ursprungs. Eingebettete iFrames von anderen Ursprüngen werden blockiert.
origin-list
Liste von Ursprüngen in Anführungszeichen, z.B. "https://analytics.example.com", die zusätzlich zum Hauptdokument Zugriff erhalten. Für Drittanbieter-Widgets mit Bewegungserkennung.

Beispiele

Die folgenden Beispiele zeigen typische Anwendungsfälle für Mobile-Apps, Gaming und Fitness-Tracking.

Mobile Fitness-App mit aktiviertem Sensor

Eine Progressive Web App für Fitness-Tracking erlaubt Accelerometer-Zugriff für Schrittzähler und Aktivitätserkennung.

http 
HTTP/1.1 200 OK
Content-Type: text/html
Permissions-Policy: accelerometer=(self), gyroscope=(self)
Permissions-Policy: magnetometer=(self)

<!DOCTYPE html>
<html>
<head><title>Fitness Tracker</title></head>
<body>
  <script>
    const sensor = new Accelerometer({frequency: 60});
    sensor.addEventListener('reading', e => {
      console.log(`X: ${sensor.x}, Y: ${sensor.y}, Z: ${sensor.z}`);
    });
    sensor.start();
  </script>
</body>
</html>

Gaming-Plattform mit Drittanbieter-Widget

Eine Gaming-Plattform erlaubt einem eingebetteten Spiel-Widget Zugriff auf Bewegungssensoren für Steuerung.

http 
HTTP/1.1 200 OK
Content-Type: text/html
Permissions-Policy: accelerometer=(self "https://game.example.com")
Permissions-Policy: gyroscope=(self "https://game.example.com")

<!DOCTYPE html>
<html>
<head><title>Gaming Platform</title></head>
<body>
  <iframe src="https://game.example.com/racing-game" allow="accelerometer; gyroscope"></iframe>
</body>
</html>

API-Endpunkt ohne Sensor-Zugriff

Ein REST-API-Endpunkt deaktiviert alle Bewegungssensoren für maximale Sicherheit.

http 
HTTP/1.1 200 OK
Content-Type: application/json
Permissions-Policy: accelerometer=(), gyroscope=(), magnetometer=()

{
  "status": "success",
  "data": {
    "user_id": 12345
  }
}

Vorteile für die Systemarchitektur

  • Schützt vor unerwünschtem Sensor-Tracking durch eingebettete Drittanbieter-Inhalte
  • Reduziert Fingerprinting-Risiken durch Deaktivierung ungenutzter Sensor-APIs
  • Ermöglicht granulare Kontrolle für Mobile-First-Anwendungen mit Bewegungserkennung
  • Verhindert Akku-Drain durch unkontrollierten Sensor-Zugriff in iFrames

Spezifikation

Definiert in der W3C Permissions Policy und Generic Sensor API Spezifikation. Verfügbar in modernen Browsern mit Sensor-API-Support.

Weitere Spezifikationen

Permissions-Policy Header, Permissions-Policy gyroscope