payment
Permissions-Policy Identity

개요

payment 지시어는 Payment Request API(new PaymentRequest(...).show())로 브라우저 결제 UI를 띄울 수 있는지를 제어합니다. 기본 허용 목록은 self이며, 결제 프레임을 임베드하는 상거래 사이트에서 위임이 중요합니다.

자세히

`payment=*`는 모든 오리진, `payment=(self)`는 자기 오리진, `payment=()`는 전면 차단, `payment=(self "https://checkout.example.com")`는 자기 오리진과 지정 오리진에만 허용합니다. 결제 제공자(PSP)의 iframe이 결제 시트를 띄우려면 부모가 `<iframe allow="payment">`로 위임해야 합니다. 위임이 없으면 프레임 안의 PaymentRequest.show()가 실패합니다.

정책이 거부하면 PaymentRequest.show()가 반환하는 Promise는 SecurityError 또는 NotAllowedError로 reject됩니다. show()는 사용자 제스처 안에서 호출되어야 하며, 이는 정책과 별개 요건입니다. 결제·금융 흐름은 클릭재킹·오리진 혼동에 취약하므로 위임 대상 오리진을 신뢰 목록으로 엄격히 관리해야 합니다. 구형 Feature-Policy의 payment를 대체합니다.

문법

Permissions-Policy: payment=(self "https://checkout.example.com")

실무 참고

관련 지시어