Le header Permissions-Policy remplace-t-il l'ancien Feature-Policy ?

Oui. Permissions-Policy est le successeur standardisé de Feature-Policy. La syntaxe a changé (plus de guillemets, nouvelle notation) mais le concept est identique. Feature-Policy est déprécié depuis Chrome 88.

Comment bloquer les bots sans affecter les vrais utilisateurs avec Permissions-Policy ?

Permissions-Policy contrôle les APIs navigateur (caméra, micro, géolocalisation), pas le trafic bot. Pour bloquer les bots, combiner fail2ban sur les logs Nginx + règles de rate limiting + Cloudflare Bot Management.

Peut-on tester ma Permissions-Policy sans la mettre en production ?

Oui. Dans Chrome DevTools, l'onglet Application > Permissions Policy affiche les permissions autorisées et bloquées sur la page courante. L'extension Security Headers permet aussi d'analyser les headers en temps réel.

Aller plus loin : Permissions-Policy et protection anti-bots sur Nginx

Objectif :
Exemple de configuration :
Explication :
Pourquoi l’utiliser ?
Étape 1 : définir une zone de limitation
Étape 2 : appliquer la règle
Résultat :
Bonus : filtrer certains User-Agent

Introduction

Lorsque vous avez déjà mis en place les headers classiques (HSTS, CSP, X-Frame-Options…), il reste encore des moyens d’affiner votre politique de sécurité.

Deux approches particulièrement utiles :

Les Permissions-Policy : pour limiter ce que le navigateur est autorisé à faire (caméra, micro, géolocalisation…)
Le Rate Limiting dans Nginx : pour bloquer ou ralentir les requêtes abusives, souvent utilisées par des bots ou des scripts malveillants

Ces deux mesures combinées offrent un contrôle plus précis du comportement client et protègent votre serveur contre les abus.

Permissions-Policy : contrôle des capacités navigateur

Anciennement connue sous le nom de Feature-Policy, cette en-tête HTTP permet de restreindre ou autoriser l’accès aux fonctionnalités sensibles du navigateur, comme la caméra, le micro, la géolocalisation, etc.

Objectif :

Empêcher les navigateurs d’accéder à des APIs si ce n’est pas nécessaire au bon fonctionnement du site.

Exemple de configuration :

add_header Permissions-Policy "geolocation=(), microphone=(), camera=(), fullscreen=(self), payment=()" always;

camera=(self “https://appli.externe.com”)

Pourquoi l’utiliser ?

Réduction des risques d’exploitation des APIs navigateur
Moins de permissions = surface d’attaque plus faible
Compatible avec les navigateurs modernes (Chrome, Edge, Firefox)
Permet de respecter les règles RGPD en désactivant des fonctions sensibles

Rate limiting avec Nginx : la protection anti-bots native

Les attaques par force brute, les scans automatisés ou les abus de formulaire sont des menaces constantes pour les serveurs web. Heureusement, Nginx dispose de modules intégrés pour contrôler le débit par IP.

Étape 1 : définir une zone de limitation

limit_req_zone $binary_remote_addr zone=antibot:10m rate=10r/s;

location / { limit_req zone=antibot burst=20 nodelay; }

burst=20 : permet une petite tolérance en pic
nodelay : autorise le burst sans ralentissement

💡 Tu peux adapter cette règle pour les zones sensibles uniquement :

location /login {
    limit_req zone=antibot burst=5;
}

if ($http_user_agent ~* (HTTrack|wget|curl|scanner|sqlmap)) { return 403; }

Et si tu veux aller plus loin :

fail2ban pour bannir les IP
ModSecurity pour un WAF plus complet

Exemple combiné : sécurité sur un endpoint de formulaire

location /contact {
    limit_req zone=antibot burst=3;

    add_header Permissions-Policy "microphone=(), camera=(), payment=(), fullscreen=(self)" always;

    try_files $uri $uri/ /contact/index.php?$args;
}

Introduction

Objectif :

Exemple de configuration :

Pourquoi l’utiliser ?

Étape 1 : définir une zone de limitation

Articles connexes