Origin Policy

Content-Security-PolicyやFeature-Policyといった、ブラウザがページを表示する際に機能を制限したりセキュリティ上の制限を与える機能があります。これらの機能はレスポンスヘッダに該当のヘッダを付けることでポリシーを適応させることができます。

そのため、これらの機能をもれなく適応するにはレスポンスの都度きちんとこれらのヘッダーを付加しなければなりません。

また、CSPやFeature-Policyのヘッダは1キロバイトになるほど多いものもあります。HTTP/2やHTTP/3の場合はヘッダ圧縮がありますが動的ヘッダテーブルを圧迫してしまい、効率を悪くしてしまいます。

そこで、CSPやFeature-Policyのポリシーをオリジン全体に適応可能にするのがOrigin Policyです

有効にさせる方法

ブラウザにOrigin Policyを適応するために、まずSec-Origin-Policyレスポンスヘッダで適応するポリシーを通知します。なお、httpsでないとダメです。

Sec-Origin-Policy: policy=example-policy

ブラウザはこのレスポンスヘッダを見て、該当するポリシーファイルを参照しに行きます。
「https://<ドメイン名>/.well-know/origin-policy/example-policy」

ポリシーファイルは以下のように、featuresとcontent_securityにそれぞれのポリシーを記述するだけです。ディレクティブ等の詳細はそちら側の仕様を参照

{
  "features": {
    "policy": "camera 'none', geolocation 'none', 'sync-xhr' 'none'"
  },
  "content_security": {
    "policies": ["script-src 'self' 'unsafe-inline', img-src 'none'"],
    "policies_report_only": ["img-src 'none'"]
  }
}

Chromiumのテストファイルを見ると例が書いてあるので参考になると思います
https://cs.chromium.org/chromium/src/third_party/blink/web_tests/external/wpt/.well-known/origin-policy/?g=0

試してみる

上記で解説したレスポンスヘッダ及びポリシーファイルを、https://asnokaze.com に設定しました。

Origin Policyによってジオロケーションへのアクセスを禁止していますので、コンソールからジオロケーションにアクセスしようとすると、ちゃんとブロックされることが確認できました。

なお、正しくポリシーファイルを設置しないとページの表示ができなくなってしまいます
(ページタイトルが"元のポリシーエラー"になってるのは修正中のようです)

https://asnokaze.com のオリジン ポリシーに沿ってブロックしました。
サイト https://asnokaze.com は、すべてのリクエストにオリジン ポリシーの適用を求めていますが、このポリシーは現在適用することができません。