Permissions-Policy: отключить camera, mic и payment
Заголовок и iframe allow=.
Заголовок `Permissions-Policy: camera=(), microphone=(), geolocation=()` запрещает API, которые маркетинговому лендингу не нужны — меньше поверхность атаки.
Для встроенных виджетов уточняйте `allow` на `<iframe>` точечно, не `allow="*"`.
- Permissions-Policy — MDN — HTTP-заголовок.
- Permissions Policy — W3C — Спецификация.
Report-Only
Сначала `Permissions-Policy-Report-Only` + Reporting API — увидите, что сломается, до enforce.