<div dir="ltr"><span style="font-size:13px;line-height:19.5px">Hi all,</span><br style="font-size:13px;line-height:19.5px"><br style="font-size:13px;line-height:19.5px"><span style="font-size:13px;line-height:19.5px">We&#39;re looking for comments and feedback on a proposal aimed at making the permissions model for iframes more understandable for people. User research suggests that currently people don&#39;t have a good understanding of who they are granting access to when permission requests come from iframes. Also, the way permission decisions are scoped for iframes is inconsistent (across permissions and across UAs), making behavior hard to predict. It&#39;s also difficult to build simple UI to communicate and manage iframe permissions.</span><br style="font-size:13px;line-height:19.5px"><br style="font-size:13px;line-height:19.5px"><span style="font-size:13px;line-height:19.5px">The idea of the proposal is to require an embedding origin to delegate permission to an iframe in order for the iframe to get access. Sites in iframes would not be able to access permissions unless they were delegated. This means that users would only be required to make permission decisions about the top level origin, which is simpler to understand. It also allows for simpler permission management UI.</span><br style="font-size:13px;line-height:19.5px"><br style="font-size:13px;line-height:19.5px"><span style="font-size:13px;line-height:19.5px">We have written a draft spec for this proposal but this is far from final and we’d love to continue the discussion with anyone interested. Please let us know if you’re interested in contributing or have other comments or concerns. We’re planning to centralize the discussion on the </span><a href="mailto:public-webappsec@w3.org" target="_blank" style="font-size:13px;line-height:19.5px">public-webappsec@w3.org</a><span style="font-size:13px;line-height:19.5px"> mailing list.</span><br style="font-size:13px;line-height:19.5px"><br style="font-size:13px;line-height:19.5px"><span style="font-size:13px;line-height:19.5px">You can find the draft here: </span><a href="https://noncombatant.github.io/permission-delegation-api/" target="_blank" style="font-size:13px;line-height:19.5px">https://noncombatant.github.io/permission-delegation-api/</a><br style="font-size:13px;line-height:19.5px"><br style="font-size:13px;line-height:19.5px"><span style="font-size:13px;line-height:19.5px">Thanks!</span><br><div><span style="font-size:13px;line-height:19.5px">Raymes</span></div></div>