加密媒体扩展

摘要

本规范扩展了 HTMLMediaElement [HTML] ，提供用于控制加密内容播放的 API。

该 API 支持从简单的明文密钥解密到高价值视频的各种用例（前提是用户代理具有适当的实现）。许可证/密钥交换由应用控制，从而有助于开发支持一系列内容解密和保护技术的健壮播放应用。

本规范并不定义内容保护或数字版权管理系统。相反，它定义了一个通用 API，可用于发现、选择此类系统并与之交互，也可用于发现、选择更简单的内容加密系统并与之交互。实现数字版权管理并非符合本规范的要求：只要求实现 Clear Key 系统，作为共同基线。

该通用 API 支持一组简单的内容加密能力，将身份验证和授权等应用功能留给页面作者处理。这是通过要求特定于内容保护系统的消息由页面中介来实现的，而不是假定加密系统与许可证服务器或其他服务器之间存在带外通信。

内容解密模块 (CDM)

内容解密模块 (CDM) 是为一个或多个密钥系统提供功能（包括解密）的客户端组件。

注

实现可以将 CDM 的实现分离，也可以不分离；可以将它们视为独立于用户代理，也可以不这样处理。这对 API 和应用是透明的。

密钥系统

密钥系统是解密机制和/或内容保护提供方的通用术语。密钥系统字符串用于唯一标识一个密钥系统。用户代理使用它们来选择一个 CDM，并标识与密钥相关的事件来源。用户代理必须支持通用密钥系统。用户代理可以还提供附加的 CDM，并带有相应的密钥系统字符串。

密钥系统字符串始终是反向域名。密钥系统字符串使用区分大小写的匹配进行比较。建议 CDM 使用简单的小写 ASCII 密钥系统字符串。

注

例如，"com.example.somesystem"。

注

在给定系统（示例中的 "somesystem"）内，可以按密钥系统提供方确定的方式定义子系统。例如，"com.example.somesystem.1" 和 "com.example.somesystem.1_5"。密钥系统提供方应记住，这些字符串将用于比较和发现，因此它们应易于比较，且结构应保持合理简单。

密钥会话

密钥会话，或简称会话，为与 CDM 交换消息提供上下文，其结果是使密钥可供 CDM 使用。会话体现为 MediaKeySession 对象。每个密钥会话都与 generateRequest() 调用中提供的一个初始化数据实例相关联。

每个密钥会话都与单个 MediaKeys 对象关联，并且只有与该 MediaKeys 对象关联的媒体元素才能访问与该会话关联的密钥。其他 MediaKeys 对象、CDM 实例以及媒体元素绝不能 访问该密钥会话或使用其密钥。会话一旦关闭，包括 MediaKeySession 对象被销毁时，密钥会话及其包含的密钥就不再可用于解密。

与未被显式存储的密钥会话关联的所有许可证和密钥，在密钥会话关闭时必须被销毁。

密钥 ID 在一个会话内必须唯一。

会话 ID

会话 ID 是由 CDM 生成的唯一字符串标识符，应用可用它来标识 MediaKeySession 对象。

每当用户代理和 CDM 成功创建一个新会话时，都会生成一个新的会话 ID。

每个会话 ID 应当在其创建所在的浏览上下文内唯一。对于使是持久会话类型吗？算法返回 true 的会话类型，会话 ID 在一段时间内必须在源内唯一，包括跨浏览会话。

注

底层内容保护协议不一定需要支持会话 ID。

密钥

除非另有说明，密钥指可用于解密媒体数据中块的解密密钥。每个此类密钥由一个密钥 ID唯一标识。密钥与用于将其提供给 CDM 的会话相关联。（同一密钥可存在于多个会话中。）此类密钥必须只能通过 update() 调用提供给 CDM。（之后它们可以作为已存储会话数据的一部分由 load() 加载。）

最佳实践 1: 在打包加密媒体时，使用一个不同的密钥（以及密钥 ID）来加密每组需要强制执行实质上不同策略的流。

例如，当两个视频分辨率之间的策略不同时，每组流都会使用不同的密钥进行加密，以便可以独立强制执行这些策略；类似地，当音频和视频流的策略不同时，它们会使用不同的密钥。跨策略组共享密钥会阻止独立强制执行，因此每个策略组使用不同的密钥是确保在各客户端之间实现强制执行和兼容性的唯一方式。

可用于解密

如果 CDM 确定某个密钥当前可用于解密一个或多个媒体数据块，则该密钥被视为可用于解密。

注

例如，如果密钥的许可证已过期，则该密钥不可用于解密。即使其许可证尚未过期，如果使用该密钥的其他条件（例如，输出保护）当前未得到满足，则该密钥也不可用于解密。

密钥 ID

一个密钥关联着一个密钥 ID，该 ID 是一个八位字节序列，并且唯一标识该密钥。容器指定能够解密媒体数据中某个块或一组块的密钥的 ID。初始化数据可以包含密钥 ID，以标识解密媒体数据所需的密钥。但是，并不要求初始化数据包含媒体数据或媒体资源中使用的任何或所有密钥 ID。提供给 CDM 的许可证将每个密钥与一个密钥 ID 关联起来，从而使 CDM 在解密一个加密的媒体数据块时能够选择适当的密钥。

已知密钥

如果会话的 CDM 实现包含关于某个密钥的任何信息 ——特别是密钥 ID——则该密钥被视为该会话已知，无论实际的密钥是否可用或其值是否已知。已知密钥通过 keyStatuses 属性暴露。

即使密钥变得不可用，例如由于过期，或者密钥已被移除但存在许可证销毁记录，这些密钥仍被视为已知。只有当密钥从会话中被显式移除，并且任何许可证释放消息得到确认后，密钥才会变为未知。

注

例如，如果一次 update() 调用提供了一个不包含该密钥的新许可证，并包含替换先前包含该密钥的许可证的指令，则该密钥可能会变为未知。

许可证

许可证是特定于密钥系统的状态信息，其中包含一个或多个密钥 ——每个密钥都关联一个密钥 ID——以及可能的其他关于密钥使用的信息。

初始化数据

最佳实践 2: 在生成初始化数据时，唯一标识解密内容所需的每个密钥。

密钥系统通常需要一个初始化数据块，其中包含关于要解密的流的信息，然后才能构造许可证请求消息。该块可以是简单的密钥或内容 ID，也可以是包含此类信息的更复杂结构。应用以某种特定于应用的方式或从媒体数据中获取初始化数据。

初始化数据是一个通用术语，指容器特定的数据，该数据由 CDM 用于生成许可证请求。

初始化数据的格式取决于容器的类型，并且容器可以支持一种以上的初始化数据格式。初始化数据类型是一个字符串，表示随附的初始化数据的格式。初始化数据类型字符串始终以区分大小写的方式匹配。建议初始化数据类型字符串为小写 ASCII 字符串。

Encrypted Media Extensions Initialization Data Format Registry 提供从初始化数据类型字符串到每种格式规范的映射。

当用户代理在媒体数据中遇到初始化数据时，它会在 initData 属性中将该初始化数据提供给应用，该属性属于 encrypted 事件。用户代理不得存储初始化数据，也不得在遇到它时使用其内容。应用通过 generateRequest() 将初始化数据提供给 CDM。用户代理不得通过其他方式向 CDM 提供初始化数据。

对于给定的一组流或媒体数据，初始化数据必须是固定值。它必须只包含与播放给定的一组流或媒体数据所需密钥相关的信息。它不得包含应用数据、客户端特定数据、用户特定数据或可执行代码。

初始化数据不应包含特定于密钥系统的数据或值。实现必须支持 [EME-INITDATA-REGISTRY] 中为它们所支持的每个初始化数据类型定义的通用格式。

注

不鼓励使用专有格式/内容，即 [EME-INITDATA-REGISTRY] 中未定义的格式，并且强烈不鼓励支持或仅使用专有格式。专有格式只应与既有内容一起使用，或在不支持通用格式的既有客户端设备上使用。

可关联值

如果两个或更多标识符或其他值相同，或者可以在合理的时间和努力范围内将它们相关联或建立关联，则称它们是可关联的。否则，这些值是不可关联的。

注

例如，以下方式创建的值是可关联的：

使用可轻易逆转的哈希函数。
共享前缀或其他子集
将随机值 N 替换为 N+10
将来源与固定值进行 XOR（因为它可以轻易逆转）

相比之下，两个完全无关或在密码学上不同的值，例如通过密码学强的不可逆哈希函数得到的值，是不可关联的

如果引用的实体或实体集合可以在合理的时间和努力范围内在没有其他实体参与的情况下将两个或更多标识符或其他值相关联或建立关联，则称这些值可由某个实体关联。否则，这些值是不可由某个实体关联的。

如果两个或更多标识符或其他值不可由应用关联，则它们是不可由某个实体关联的，其中该实体是包含该应用、所有其他应用以及它们使用或与之通信的服务器等其他实体的集合。否则，这些值会被视为可由应用关联，这是被禁止的。

显著值

显著值是一个值、一段数据、拥有一段数据所暗示的信息，或一种可观察的行为或时序，它不为大量用户或客户端设备所共享。显著值可以位于内存中，也可以被持久化。

注

显著值的示例包括但不限于：

显著标识符
显著永久标识符
其他标识符
会话 ID
许可证
其他会话数据

注

虽然显著值通常对用户或客户端设备是唯一的，但一个值不需要严格唯一即可具有显著性。例如，由少数用户共享的值仍可能具有显著性。

永久标识符

永久标识符是一个值、一段数据、拥有一段数据所暗示的信息，或一种可观察的行为或时序，它在某种意义上不可磨灭，或者用户不易移除、重置或更改。这包括但不限于：

硬件或基于硬件的标识符
在工厂中配置到硬件设备中的值
与操作系统安装实例相关联或从其派生的值
与用户代理安装实例相关联或从其派生的值
与 CDM 或其他软件组件相关联或从其派生的值
配置文件或类似半永久数据中的值，即使该值是在客户端上生成的
客户端或其他用户账户值

显著永久标识符是一个永久标识符，并且它是显著的。

当暴露到客户端之外时，显著永久标识符以及从其派生或以其他方式与其相关的值必须被加密。显著永久标识符绝不能暴露给应用，即使以加密形式也不可以。

注

虽然显著永久标识符通常对用户或客户端设备是唯一的，但显著永久标识符不需要严格唯一即可具有显著性。例如，由少数用户共享的显著永久标识符仍可能具有显著性。

注

显著永久标识符不是显著标识符，因为它不是（在本规范范围内）派生或生成的。

注

distinctiveIdentifier 控制是否可以使用显著永久标识符。具体来说，只有当用于创建 MediaKeys 对象的 MediaKeySystemAccess 的 distinctiveIdentifier 成员的值为 "required" 时，才可以使用显著永久标识符。

显著标识符

注

显著标识符是一个值，包括不透明或加密形式的值，对于该值，客户端外部的任何实体都可能将这些值相关联或建立关联，超出用户在 Web 平台上可能预期的范围（例如，cookie 和其他站点数据）。例如，某些值对于应用以外的实体而言是可关联的，跨越 a) 来源、 b) 浏览配置文件，或 c) 浏览会话，即使用户已经尝试通过清除浏览数据来保护其隐私，或者对于用户来说不容易打破这种关联的值。特别是，如果中央服务器（例如个性化服务器）能够跨来源关联值，例如因为个性化请求包含了公共值，或者因为在个性化请求中提供的值即使在尝试清除浏览数据后，仍可由此类服务器关联，则该值就是显著标识符。造成这种情况的可能原因包括在个性化过程中使用显著永久标识符。

暴露给应用的显著标识符，即使以加密形式暴露，也受标识符要求约束，包括被加密、按来源和配置文件唯一，以及可清除。

虽然显著标识符的实例化或使用是由应用对本规范中定义的 API 的使用触发的，但该标识符不需要被提供给应用，也可以触发与显著标识符相关的条件。（显著永久标识符不会提供给应用，即使以不透明或加密形式也不会。）

注

distinctiveIdentifier 控制是否可以使用显著标识符。具体来说，只有当用于创建 MediaKeys 对象的 MediaKeySystemAccess 的 distinctiveIdentifier 成员的值为 "required" 时，才可以使用显著标识符。

显著标识符是一个值、一段数据、拥有一段数据所暗示的信息，或一种可观察的行为或时序，并且满足以下所有条件：

它是显著的。

注

虽然显著标识符通常对用户或客户端设备是唯一的，但标识符不需要严格唯一即可具有显著性。例如，由少数用户共享的标识符仍可能具有显著性。
它、关于它的信息，或从其派生或以其他方式与其相关的值，即使以加密形式，也暴露到了客户端之外。这包括但不限于将其提供给应用和/或许可证、个性化或其他服务器。
它具有以下一项或多项属性：
- 它派生自一个或多个显著永久标识符。
- 生成、个性化、配置或其他产生该值的过程，涉及、使用、提供、派生自或类似地涉及一个或多个显著永久标识符或另一个显著标识符。
- 它是可清除的，但不能与 cookie 和其他站点数据一同清除。
  
  注
  
  例如，通过某种用户代理外部的机制，例如操作系统级机制。
注
对于暴露给应用的值，其他受关注且被规范性禁止的属性包括：
- 它是一个显著永久标识符。
- 它不是可清除的。
- 在清除标识符之后创建的值，可能可由应用关联到先前的值。
- 值可能不是按来源和配置文件唯一。
- 不同来源的值可能可由应用关联。
此类被规范性禁止的值的示例包括但不限于：
- 用于所有来源的单个基于硬件的值。
- 用于所有来源的单个基于随机数的值。
- 从个性化过程中获得并用于所有来源的单个值。
- 包含上述任何值的全部或一部分的值。
- 用于多个但并非所有来源的单个值。
- 用于一个域上所有来源的单个值。（标识符必须按来源区分。）
- 预配置的、特定于来源的值。
- 通过可轻易逆转的方式生成的值，因此无论是在客户端上生成，还是涉及个性化过程，都可由应用关联。例如，将来源（的一部分）与固定值进行 XOR 或以其他方式整合。

注

虽然显著标识符通常可由生成它们的实体关联，但它们必须是不可由应用关联的。换句话说，这种相关或关联只能由最初生成显著标识符值的实体完成，例如个性化服务器。有权访问显著永久标识符的实体不得将这种能力暴露给应用，因为这会使生成的显著标识符可由应用关联，并且应谨慎避免向其他实体或第三方暴露这种关联。

注

显著标识符的示例包括但不限于：

包含在密钥请求中的一系列字节，不同于其他客户端设备包含的字节序列，并且基于或直接或间接使用显著永久标识符获得。
包含在密钥请求中的公钥，该公钥不同于其他客户端设备请求中包含的公钥，并且基于或直接或间接使用显著永久标识符获得。
证明拥有其他客户端设备不具备的私钥（例如，通过对某些数据签名），并且该私钥基于或直接或间接使用显著永久标识符获得。
此类密钥的标识符。
使用此类值来派生另一个被暴露的值，即使第一个值未被直接暴露。
从另一个显著标识符派生的值。
与显著永久标识符一起报告给（例如，个性化）服务器的随机值，或在提供显著永久标识符后由此类服务器提供的随机值。
从工厂中配置到硬件设备中的唯一值派生的值。
从工厂中硬件设备里的唯一硬件值（例如 MAC 地址或序列号）或软件值（例如操作系统安装实例或操作系统用户账户名）派生的值。
从嵌入在 CDM 二进制文件或其他供 CDM 使用的文件中的唯一值派生的值。

不属于显著标识符的事物示例：

如果安装基数很大，则给定 CDM 版本的所有副本共享的公钥。
一个随机数或临时密钥，它是唯一的但只在一个会话中使用。
未以任何派生或类似方式暴露到客户端之外的值，包括通过个性化或类似方式。
用于例如视频管线与 CDM 之间证明的设备唯一密钥，当前提是 CDM 不让这些证明继续流向应用，而是使用不构成显著标识符的密钥自行生成新的证明。
一个随浏览数据（例如 cookie）完全清除/可清除的值，清除后它将被一个不可关联的值替换] （不仅仅是不可由应用关联），即使对于中央服务器（例如个性化服务器）也是如此，并且满足以下一项或多项：
- 没有显著永久标识符或显著标识符参与该值的生成。
- 它是一个在没有系统输入的情况下生成的随机值。
- 它是由服务器在未使用或不知道另一个显著标识符的情况下提供的值。

显著标识符和显著永久标识符的使用

如果一个实现、配置、实例或对象在其生命周期内或相关此类实体的生命周期内的任何时候，将一个或多个显著标识符、关于它们的信息，或从它们派生或以其他方式与它们相关的值暴露到客户端之外，即使以加密形式暴露，则该实现、配置、实例或对象使用显著标识符。这包括但不限于将此类值提供给应用和/或许可证、个性化或其他服务器。

如果一个实现、配置、实例或对象在其生命周期内或相关此类实体的生命周期内的任何时候，将一个或多个显著永久标识符、关于它们的信息，或从它们派生或以其他方式与它们相关的值暴露到客户端之外，即使以加密形式暴露，则该实现、配置、实例或对象使用显著永久标识符。这包括但不限于将此类值提供给个性化服务器。此类值不得提供给应用。

如果一个实现、配置、实例或对象使用显著标识符和/或使用显著永久标识符，则该实现、配置、实例或对象使用显著标识符或显著永久标识符。

注

distinctiveIdentifier 控制是否可以使用显著标识符和显著永久标识符。具体来说，只有当用于创建 MediaKeys 对象的 MediaKeySystemAccess 的 distinctiveIdentifier 成员的值为 "required" 时，才可以使用此类标识符。

跨源限制

在播放期间，嵌入的媒体数据会暴露给嵌入来源中的脚本。为了让 API 能够在 encrypted 事件中提供初始化数据，媒体数据必须与嵌入页面 CORS 同源。如果媒体数据与嵌入文档是跨源的，作者应在 HTMLMediaElement 上使用 crossOrigin 属性，并在媒体数据响应上使用 CORS 标头，以使其 CORS 同源。

混合内容限制

在播放期间，嵌入的媒体数据会暴露给嵌入来源中的脚本。为了让 API 能够在 encrypted 事件中提供初始化数据，媒体数据不得是混合内容 [MIXED-CONTENT]。

时间

时间必须等价于 ECMAScript Language Specification 中表示的时间。

如果不存在这样的时间，或该时间不确定，则时间将等于 NaN。它不应具有 Infinity 值。

注

Time 通常表示一个具有毫秒精度的时间瞬点；然而，仅这一点并不足以构成充分的定义。 ECMAScript 语言规范中的“时间值与时间范围”一节添加了其他重要要求。

过期时间

在该时间之后，密钥将不再可用于解密。

浏览配置文件

给定机器上的用户代理可以支持在各种不同的上下文、模式或临时状态中执行，这些上下文、模式或临时状态在应用可见状态和数据方面预期彼此独立。特别是，所有存储的数据都预期是独立的。在本规范中，我们将此类独立的上下文或模式称为“浏览配置文件”。

注

此类独立上下文的示例包括：用户代理在不同操作系统用户账户中运行，或者用户代理提供为单个账户定义多个独立配置文件的能力。

本节定义了获取对密钥系统访问的机制。请求中包含能力也可以实现特性检测。

拒绝 promise 时，算法的步骤总是会被中止。

requestMediaKeySystemAccess() 是一个由字符串 encrypted-media 标识的策略控制特性。它的默认允许列表是 'self' [PERMISSIONS-POLICY]。

WebIDL[Exposed=Window]
partial interface Navigator {
  [SecureContext] Promise<MediaKeySystemAccess> requestMediaKeySystemAccess (
      DOMString keySystem,
      sequence<MediaKeySystemConfiguration> supportedConfigurations);
};

requestMediaKeySystemAccess()

注

调用此方法可能具有用户可见的效果，包括请求用户同意。只有当作者打算用所提供的配置创建并使用 MediaKeys 对象时，才应调用此方法。

请求访问指定的密钥系统。其元素中至少一个指定的配置必须受支持。产生的 MediaKeySystemAccess 将对应于第一个这样的元素。

任何权限检查或用户交互，例如请求同意的提示，都必须在 resolve 该 promise 之前执行。

如果 keySystem 不受支持或不被允许（在 supportedConfigurations 中至少一个配置中），则该 promise 会被拒绝。否则，它会以一个新的 MediaKeySystemAccess 对象 resolve。

注

如 [SecureContext] IDL 属性所示，此方法只暴露给安全上下文。

要求安全上下文不是其他安全和隐私相关要求及建议的替代。实现必须满足所有相关要求，并且应当遵循相关建议，使安全上下文中的风险类似。

调用此方法时，用户代理必须运行以下步骤：

如果 this 的相关全局对象的关联的 Document 不被允许使用 encrypted-media 特性，则抛出一个 "SecurityError" DOMException 并中止这些步骤。
如果 keySystem 是空字符串，则返回一个以新创建的 TypeError 拒绝的 promise。
如果 supportedConfigurations 为空，则返回一个以新创建的 TypeError 拒绝的 promise。
令 document 为调用上下文的 Document。
令 origin 为 document 的来源。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 如果 keySystem 不是用户代理支持的密钥系统之一，则使用 NotSupportedError 拒绝 promise。字符串比较区分大小写。
2. 令 implementation 为 keySystem 的实现。
3. 对 supportedConfigurations 中的每个值：
  1. 令 candidate configuration 为该值。
  2. 令 supported configuration 为在 implementation、 candidate configuration 和 origin 上执行获取支持的配置算法的结果。
  3. 如果 supported configuration 不是 NotSupported，则运行以下步骤：
    1. 令 access 为一个新的 MediaKeySystemAccess 对象，并按如下方式初始化它：
      1. 将 keySystem 属性设置为 keySystem。
      2. 令 configuration 值为 supported configuration。
      3. 令 cdm implementation 值为 implementation。
    2. 使用 access 解决 promise，并中止该算法的并行步骤。
4. 使用 NotSupportedError 拒绝 promise。
  
  注
  
  keySystem 不受支持/不被允许，或者 supportedConfigurations 中没有任何配置受支持/被允许。
返回 promise。

给定一个密钥系统实现 implementation、 MediaKeySystemConfiguration candidate configuration 和 origin，此算法按适当情况返回受支持的配置或 NotSupported。

注

candidate configuration 中无法识别的字典成员会根据 [WEBIDL] 被忽略，且永远不会到达此算法。因此，它们不能被视为配置的一部分。

注

对于某些配置，可能需要获得用户同意或通知用户。用户代理可以灵活确定特定配置是否需要同意，以及这种同意是否也可以适用于其他配置。例如，对一个配置的同意也可以暗示对权限较少、更受限制配置的同意。同样，对一个配置拒绝同意也可以暗示对权限更大、限制较少配置拒绝同意。

受支持的配置，包括受支持的音频和视频编解码器，可能取决于可选能力的可用性，例如可区别标识符和持久化状态。以下算法会迭代尝试找到既受支持又已获得用户同意（或不需要同意）的配置。

用户代理应在适当时复用先前的同意响应，至少在 requestMediaKeySystemAccess() 算法期间复用，以避免反复向用户请求类似配置。

以下步骤中的变量 restrictions 表示在执行此算法期间，或基于该源的持久化同意信息，已被拒绝同意的配置。它用于确定是否已拒绝用户对候选配置或累积配置的同意。如果每个派生配置都已被拒绝，则对累积配置的同意被拒绝。restrictions 的内部表示是特定于实现的。

令 supported configuration 为 ConsentDenied。
初始化 restrictions，以指示尚无配置被用户拒绝同意。
当 supported configuration 为 ConsentDenied 时，重复以下步骤：
1. 令 supported configuration 以及（如果提供） restrictions 为使用 implementation、 candidate configuration、restrictions 和 origin 执行获取支持的配置和同意算法的结果。
返回 supported configuration。

给定一个密钥系统实现 implementation、 MediaKeySystemConfiguration candidate configuration、 restrictions 和 origin，此算法按适当情况返回受支持的配置、NotSupported 或 ConsentDenied，并且在 ConsentDenied 情况下还返回 restrictions。

令 accumulated configuration 为一个新的 MediaKeySystemConfiguration 字典。
将 accumulated configuration 的 label 成员设置为等于 candidate configuration 的 label 成员。
如果 candidate configuration 的 initDataTypes 成员非空，运行以下步骤：
1. 令 supported types 为一个空的 DOMString 序列。
2. 对 candidate configuration 的 initDataTypes 成员中的每个值：
  1. 令 initDataType 为该值。
  2. 如果 implementation 支持基于 initDataType 生成请求，则将 initDataType 添加到 supported types。字符串比较区分大小写。空字符串永不受支持。
    
    注
    
    如果 initDataType 不独立于内容类型受支持，则该配置可能会在后续步骤中被意外拒绝。对 initDataType 的支持包括许可证生成，并且在适当时，还包括从媒体数据中提取。参见初始化数据类型支持要求。
3. 如果 supported types 为空，返回 NotSupported。
4. 将 accumulated configuration 的 initDataTypes 成员设置为 supported types。
令 distinctive identifier requirement 为 candidate configuration 的 distinctiveIdentifier 成员的值。
如果 distinctive identifier requirement 为 "optional"，且根据 restrictions 不允许可区别标识符，则将 distinctive identifier requirement 设置为 "not-allowed"。
按照以下列表中 distinctive identifier requirement 对应的步骤执行：

"required"

如果 implementation 在结合 accumulated configuration 和 restrictions 时不支持使用可区别标识符，返回 NotSupported。

"optional"

继续执行以下步骤。

"not-allowed"

如果 implementation 在结合 accumulated configuration 和 restrictions 时要求使用可区别标识符或可区别永久标识符，返回 NotSupported。

注

accumulated configuration 与 restrictions 的组合是指所有可能的配置，这些配置包含 accumulated configuration 中的所有内容，且未根据 restrictions 被拒绝。

如果实现支持该组合中至少一个带有该特性的配置，则该实现支持此组合中的该特性。

如果该组合中实现所支持的所有配置都包含该特性，则该实现要求此组合中的该特性。
将 accumulated configuration 的 distinctiveIdentifier 成员设置为等于 distinctive identifier requirement。
令 persistent state requirement 等于 candidate configuration 的 persistentState 成员的值。
如果 persistent state requirement 是 "optional"，且根据 restrictions 不允许持久化状态，则将 persistent state requirement 设置为 "not-allowed"。
按照以下列表中 persistent state requirement 对应的步骤执行：

"required"

如果 implementation 在结合 accumulated configuration 和 restrictions 时不支持持久化状态，返回 NotSupported。

"optional"

继续执行以下步骤。

"not-allowed"

如果 implementation 在结合 accumulated configuration 和 restrictions 时要求持久化状态，返回 NotSupported。
将 accumulated configuration 的 persistentState 成员设置为等于 persistent state requirement 的值。
按照以下列表中第一个匹配条件的步骤执行：

如果 candidate configuration 中sessionTypes 成员存在 [Infra]

令 session types 为 candidate configuration 的 sessionTypes 成员。

否则

令 session types 为 [ "temporary" ]。
对 session types 中的每个值：
1. 令 session type 为该值。
2. 如果 accumulated configuration 的 persistentState 值为 "not-allowed"，且是持久会话类型吗？算法对 session type 返回 true，则返回 NotSupported。
3. 如果 implementation 因其他原因在结合 accumulated configuration 和 restrictions 时不支持 session type，返回 NotSupported。
4. 如果 accumulated configuration 的 persistentState 值为 "optional"，且在 session type 上运行是持久会话类型吗？算法的结果为 true，则将 accumulated configuration 的 persistentState 值改为 "required"。
将 accumulated configuration 的 sessionTypes 成员设置为 session types。
如果 candidate configuration 中的 videoCapabilities 和 audioCapabilities 成员都为空，返回 NotSupported。
如果 candidate configuration 中的 videoCapabilities 成员非空：
1. 令 video capabilities 为在 Video、 candidate configuration 的 videoCapabilities 成员、 accumulated configuration 和 restrictions 上执行获取音频/视频类型支持能力算法的结果。
2. 如果 video capabilities 为 null，返回 NotSupported。
3. 将 accumulated configuration 的 videoCapabilities 成员设置为 video capabilities。
否则：

将 accumulated configuration 的 videoCapabilities 成员设置为空序列。
如果 candidate configuration 中的 audioCapabilities 成员非空：
1. 令 audio capabilities 为在 Audio、 candidate configuration 的 audioCapabilities 成员、 accumulated configuration 和 restrictions 上执行获取音频/视频类型支持能力算法的结果。
2. 如果 audio capabilities 为 null，返回 NotSupported。
3. 将 accumulated configuration 的 audioCapabilities 成员设置为 audio capabilities。
否则：

将 accumulated configuration 的 audioCapabilities 成员设置为空序列。
如果 accumulated configuration 的 distinctiveIdentifier 值为 "optional"，则按照以下列表中第一个匹配条件的步骤执行：

如果 implementation 对 accumulated configuration 中的任意组合要求使用可区别标识符或可区别永久标识符：

将 accumulated configuration 的 distinctiveIdentifier 值改为 "required"。

否则

将 accumulated configuration 的 distinctiveIdentifier 值改为 "not-allowed"。
如果 accumulated configuration 的 persistentState 值为 "optional"，则按照以下列表中第一个匹配条件的步骤执行：

如果 implementation 对 accumulated configuration 中的任意组合要求持久化状态

将 accumulated configuration 的 persistentState 值改为 "required"。

否则

将 accumulated configuration 的 persistentState 值改为 "not-allowed"。
如果 implementation 在由 accumulated configuration 中值的组合指定的配置中不受支持，或在 origin 中不被允许，返回 NotSupported。

注

在此步骤中，“受支持”包括此算法返回时实现可供使用，而不仅仅是用户代理支持这样的实现。
如果 accumulated configuration 的 distinctiveIdentifier 值为 "required"，且与 accumulated configuration 关联的可区别标识符不是每源和每配置文件唯一且可清除：
1. 更新 restrictions，以反映由 accumulated configuration 描述的所有配置都没有用户同意。
2. 返回 ConsentDenied 和 restrictions。
注

“每个源和配置文件唯一”以及“可清除”条件在符合规范的实现中不能为 false，因为实现会使用按源、按配置文件的标识符，并允许用户清除标识符。
令 consent status 和 updated restrictions 为在 accumulated configuration、restrictions 和 origin 上运行获取同意状态算法的结果，并按照以下列表中 consent status 的值对应的步骤执行：

ConsentDenied：

返回 ConsentDenied 和 updated restrictions。

InformUser：

告知用户 accumulated configuration 正在 origin 中使用，并且如果 accumulated configuration 的 distinctiveIdentifier 成员为 "required"，还要特别告知将按适当情况使用可区别标识符和/或可区别永久标识符。继续下一步。

Allowed：

继续下一步。
返回 accumulated configuration。

给定一个 audio/video type、MediaKeySystemMediaCapability 序列 requested media capabilities、MediaKeySystemConfiguration accumulated configuration 和 restrictions，此算法按适当情况返回此音频/视频类型受支持的 MediaKeySystemMediaCapability 值序列或 null。

令 local accumulated configuration 为 accumulated configuration 的本地副本。
令 supported media capabilities 为一个空的 MediaKeySystemMediaCapability 字典序列。
对 requested media capabilities 中的每个 requested media capability：
1. 令 content type 为 requested media capability 的 contentType 成员。
2. 令 encryption scheme 为 requested media capability 的 encryptionScheme 成员。
3. 令 robustness 为 requested media capability 的 robustness 成员。
4. 如果 content type 是空字符串，返回 null。
5. 令 mimeType 为使用 content type 运行解析 MIME 类型的结果。
6. 如果 mimeType 为 failure 或无法识别，则继续下一次迭代。
7. 令 container 为 mimeType 指定的容器类型。
8. 如果用户代理不支持 container，则继续下一次迭代。字符串比较的大小写敏感性由相应的 RFC 确定。
  
  注
  
  根据 RFC 6838 [RFC6838]， “顶级类型名和子类型名都不区分大小写。”
9. 令 parameters 为 mimeType 的 "codecs" 和 "profiles" RFC 6381 [RFC6381] 参数（如果有）。
10. 如果用户代理无法识别一个或多个 parameters，或任何参数根据相关规范无效，则继续下一次迭代。
11. 令 media types 为由 parameters 指定的编解码器和编解码器约束的集合。字符串比较的区分大小写由适用的 RFC 或其他规范确定（例如，对于某些格式，根据 RFC 6381 [RFC6381] 区分大小写）。
12. 如果 media types 为空：
  
  如果 container 规范性地隐含一组特定的编解码器和编解码器约束：
  
  令 parameters 为该集合。
  
  否则：
  
  继续下一次迭代。
13. 如果 mimeType 严格来说不是 audio/video type，则继续下一次迭代。
  
  注
  
  例如，如果 audio/video type 为 Video，而 mimeType 的类型不是 "video"，或者 media types 包含非视频编解码器。
14. 如果 encryption scheme 非 null，且无法识别或不受 implementation 支持，则继续下一次迭代。
15. 如果 robustness 不是空字符串，并且包含无法识别的值或 implementation 不支持的值，则继续下一次迭代。字符串比较区分大小写。
16. 如果用户代理和 implementation 明确支持在 restrictions 结合下，针对 container、media types、encryption scheme、 robustness 和 local accumulated configuration 的组合播放加密媒体数据：
  
  注
  
  此步骤确保 requested media capability（内容类型和健壮性）在与所有先前添加的请求媒体能力一起使用时受支持。
  1. 将 requested media capability 添加到 supported media capabilities。
    
    注
    
    此步骤确保 supported media capabilities 中条目的成员值恰好是 requested media capability 中提供的字符串，而未被用户代理修改。
  2. 如果 audio/video type 为 Video：
    
    将 requested media capability 添加到 local accumulated configuration 的 videoCapabilities 成员。
    
    如果 audio/video type 为 Audio：
    
    将 requested media capability 添加到 local accumulated configuration 的 audioCapabilities 成员。
    
    注
    
    此步骤确保总是使用来自先前迭代的配置来检查配置，包括来自先前调用此算法的配置。否则，在后续调用中只会检查来自先前调用此算法的配置。
如果 supported media capabilities 为空，返回 null。

注

requested media capabilities 中没有任何 MediaKeySystemMediaCapability 元素在与 accumulated configuration 结合时受支持。
返回 supported media capabilities。

给定 accumulated configuration、restrictions 和 origin，此算法返回 accumulated configuration 和 origin 的同意状态，其值为 ConsentDenied、 InformUser 或 Allowed 之一，并在 ConsentDenied 情况下同时返回 restrictions 的更新值。

注

accumulated configuration 的同意状态至少取决于 accumulated configuration 的 distinctiveIdentifier 成员的值。

对 distinctiveIdentifier 设置为 "not-allowed" 的 accumulated configuration 的先前同意，并不意味着对同一配置中 distinctiveIdentifier 设置为 "optional" 或 "required" 的同意。

如果存在针对 origin 的持久化拒绝，指示 accumulated configuration 不被允许，运行以下步骤：
1. 更新 restrictions，以反映已被拒绝同意的配置。
2. 返回 ConsentDenied 和 restrictions。
如果存在针对 origin 的持久化同意，指示 accumulated configuration 被允许，返回 Allowed。
如果以下任一项为 true：
- accumulated configuration 的 distinctiveIdentifier 成员不是 "not-allowed"，且用户代理、implementation 与 accumulated configuration 的组合未在可区别标识符方面遵循允许清除持久数据的所有建议。
- 用户代理因其他原因要求对 accumulated configuration 获得显式用户同意。
  
  注
  
  要求显式用户同意的另一个原因可能是 CDM 实现的安全属性。
则运行以下步骤：
1. 请求用户同意在 origin 中使用 accumulated configuration，并等待用户响应。
  
  如果 accumulated configuration 的 distinctiveIdentifier 成员为 "required"，则该同意必须按适当情况包括使用可区别标识符和/或可区别永久标识符的同意。
  
  注
  
  使用 accumulated configuration 的用户同意特定于 origin，并且可以限于与 accumulated configuration 共享某些属性的配置。
2. 如果同意被拒绝，运行以下步骤：
  1. 更新 restrictions，以反映同意被拒绝的配置。
  2. 返回 ConsentDenied 和 restrictions。
如果 accumulated configuration 的 distinctiveIdentifier 成员不是 "not-allowed"，返回 InformUser。
如果用户代理因其他原因要求就 accumulated configuration 通知用户，返回 InformUser。
返回 Allowed。

WebIDLenum MediaKeysRequirement {
  "required",
  "optional",
  "not-allowed"
};

MediaKeysRequirement 枚举定义如下：

枚举描述
`required`	在调用 `requestMediaKeySystemAccess()` 时使用返回的对象必须支持此特性。由 `MediaKeySystemAccess` 对象返回时由该对象创建的 CDM 实例可以使用此特性。
`optional`	在调用 `requestMediaKeySystemAccess()` 时使用返回的对象可以支持并使用此特性。由 `MediaKeySystemAccess` 对象返回时此值不能且绝不能出现在这样的对象中。
`not-allowed`	在调用 `requestMediaKeySystemAccess()` 时使用返回的对象必须在不使用此特性的情况下工作，并且绝不能在任何时候使用它。由 `MediaKeySystemAccess` 对象返回时由该对象创建的 CDM 实例绝不能使用此特性。

WebIDLdictionary MediaKeySystemConfiguration {
  DOMString                               label = "";
  sequence<DOMString>                     initDataTypes = [];
  sequence<MediaKeySystemMediaCapability> audioCapabilities = [];
  sequence<MediaKeySystemMediaCapability> videoCapabilities = [];
  MediaKeysRequirement                    distinctiveIdentifier = "optional";
  MediaKeysRequirement                    persistentState = "optional";
  sequence<DOMString>                     sessionTypes;
};

字典 MediaKeySystemConfiguration 包含以下成员：

label 类型为 DOMString，默认值为 ""

一个可选标签，它将保留在 MediaKeySystemConfiguration 中，该对象由 MediaKeySystemAccess 的 getConfiguration() 方法返回。

initDataTypes 类型为 sequence<DOMString>，默认值为 []

受支持的初始化数据类型名称列表。如果列表为空，或包含一个或多个与所有其他成员一起受支持的值（由算法确定），则认为此对象的初始化数据类型能力受支持。序列中的值不得为空字符串。

audioCapabilities 类型为 sequence<MediaKeySystemMediaCapability>，默认值为 []

受支持的音频类型和能力对列表。如果列表为空，或包含一个或多个与所有其他成员一起受支持的值（由算法确定），则认为此对象的音频能力受支持。当值之间存在冲突时，将选择较早的值。空列表表示不支持音频能力。在这种情况下， videoCapabilities 元素不得为空。

videoCapabilities 类型为 sequence<MediaKeySystemMediaCapability>，默认值为 []

受支持的视频类型和能力对列表。如果列表为空，或包含一个或多个与所有其他成员一起受支持的值（由算法确定），则认为此对象的视频能力受支持。当值之间存在冲突时，将选择较早的值。空列表表示不支持视频能力。在这种情况下， audioCapabilities 元素不得为空。

distinctiveIdentifier 类型为 MediaKeysRequirement，默认值为 "optional"

是否要求使用可区别标识符。

当此成员为 "not-allowed" 时，实现绝不能在与从此配置创建的任何对象相关联的任何操作中使用可区别标识符或可区别永久标识符。

persistentState 类型为 MediaKeysRequirement，默认值为 "optional"

是否要求具备持久化状态的能力。这包括会话数据和任何其他类型的状态。

当此成员为 "not-allowed" 时， CDM 绝不能持久化任何与应用或此对象的 Document 的源相关的状态。

注

就此成员而言，持久化状态不包括由密钥系统实现控制的持久化唯一标识符（可区别标识符）。distinctiveIdentifier 独立地反映此要求。

当不支持持久化状态时，只能创建 "temporary" 会话。

注

对于 "temporary" 会话，存储状态的需要和能力是密钥系统实现特定的，并且可能随所使用的特性而变化。

注

打算创建非 "temporary" 会话的应用，在调用 requestMediaKeySystemAccess() 时，应将此成员设置为 "required"。

sessionTypes 类型为 sequence<DOMString>

必须受支持的 MediaKeySessionType 列表。所有值都必须受支持。

如果该字典传递给 requestMediaKeySystemAccess() 时此成员不存在 [Infra]，则会将该字典视为此成员设置为 [ "temporary" ]。

实现不应向此字典添加成员。如果添加成员，它们必须是 MediaKeysRequirement 类型，并且建议它们具有 "optional" 的默认值，以支持最广泛的应用和客户端组合。

注

用户代理实现无法识别的字典成员会根据 [WEBIDL] 被忽略，并且不会在 requestMediaKeySystemAccess() 算法中予以考虑。如果应用使用非标准字典成员，它绝不能 依赖用户代理实现会拒绝包含此类字典成员的配置。

此字典绝不能用于向 CDM 传递状态或数据。

WebIDLdictionary MediaKeySystemMediaCapability {
  DOMString contentType = "";
  DOMString? encryptionScheme = null;
  DOMString robustness = "";
};

contentType 类型为 DOMString，默认值为 ""

媒体资源的 MIME 类型。

encryptionScheme 类型为 DOMString，默认值为 null

与内容类型关联的加密方案。null 或不存在的值会向用户代理表明，应用不要求特定加密方案，因而任何加密方案都是可接受的。

注

空字符串不同于 null 或不存在，因此会被视为无法识别的加密方案。

注

encryptionScheme 的知名值包括：

cenc: “cenc” 模式，定义于 [CENC] 第 4.2a 节。AES-CTR 模式的完整样本和视频 NAL 子样本加密。
cbcs: “cbcs” 模式，定义于 [CENC] 第 4.2d 节。AES-CBC 模式的部分视频 NAL 模式加密。对于视频，该规范允许各种加密模式。
cbcs-1-9: 与 "cbcs" 模式相同，但视频使用特定的 1:9 加密:跳过模式，如 [CENC] 第 10.4.2 节所推荐。

robustness 类型为 DOMString，默认值为 ""

与内容类型关联的鲁棒性级别。空字符串表示任何解密和解码该内容类型的能力都是可接受的。实现必须配置 CDM，以至少支持用于创建 MediaKeys 对象的 MediaKeySystemAccess 对象配置中指定的鲁棒性级别。

为了让此对象表示的能力被视为受支持， contentType 绝不能为空字符串，并且其整个值，包括所有编解码器，都必须与 robustness 一起受支持。

注

如果一组编解码器中的任意一个都可接受，则对每个编解码器使用此字典的单独实例。

最佳实践 3: 当将 MediaKeySystemMediaCapability 传给 requestMediaKeySystemAccess() 时，在 MIME 类型中指定编解码器和编解码器约束（例如，根据 [RFC6381]），除非容器在规范上蕴含它们，并将 encryptionScheme 设置为某个特定值，而不是依赖默认的 null。

不同的加密方案通常彼此不兼容。null 的默认值以及将 null 解释为“任意”的做法，为不知情的应用提供了向后兼容性，并为较旧用户代理提供了一条 polyfill 路径。

MediaKeys 对象表示一组密钥，关联的 HTMLMediaElement 在播放期间可使用这些密钥来解密媒体数据。它还表示一个 CDM 实例。

当 MediaKeys 对象不再可访问时，用户代理可以销毁它。

注

例如，当没有脚本引用且没有附加的媒体元素时。

对于返回 promise 的方法，所有错误都会通过拒绝返回的 Promise 异步报告。这包括 [WEBIDL] 类型映射错误。

拒绝 promise 时，算法的步骤总是会被中止。

WebIDLenum MediaKeySessionType {
  "temporary",
  "persistent-license"
};

MediaKeySessionType 枚举定义如下：

枚举描述

枚举描述
`temporary`	一种会话，其许可证、密钥以及与会话有关的记录或数据不会被持久化。应用无需担心管理此类存储。对此会话类型的支持是必需的。
`persistent-license`	一种会话，其许可证（以及可能的其他与会话相关的数据）将被持久化。当许可证及其包含的密钥被销毁时，许可证销毁记录应被持久化。许可证销毁记录是特定于密钥系统的证明，表明许可证及其包含的密钥不再可由客户端使用。对此会话类型的支持是可选的。只有当创建此对象的 `MediaKeySystemAccess` 对象关联的配置具有 `persistentState` 值 "`required`" 时，才能创建此类型的会话。一旦 `update()` 成功调用，该会话必须可通过其会话 ID加载。当调用 `remove()` 时，会生成一个类型为 "`license-release`" 且包含许可证销毁记录的 `message`，直到该记录被传递给 `update()` 的响应确认。应用负责确保在不再需要此类会话的持久化数据时将其移除。见会话存储与持久性。

temporary

一种会话，其许可证、密钥以及与会话有关的记录或数据不会被持久化。

应用无需担心管理此类存储。对此会话类型的支持是必需的。

persistent-license

一种会话，其许可证（以及可能的其他与会话相关的数据）将被持久化。当许可证及其包含的密钥被销毁时，许可证销毁记录应被持久化。许可证销毁记录是特定于密钥系统的证明，表明许可证及其包含的密钥不再可由客户端使用。对此会话类型的支持是可选的。

只有当创建此对象的 MediaKeySystemAccess 对象关联的配置具有 persistentState 值 "required" 时，才能创建此类型的会话。一旦 update() 成功调用，该会话必须可通过其会话 ID加载。当调用 remove() 时，会生成一个类型为 "license-release" 且包含许可证销毁记录的 message，直到该记录被传递给 update() 的响应确认。

应用负责确保在不再需要此类会话的持久化数据时将其移除。见会话存储与持久性。

WebIDL[Exposed=Window, SecureContext] interface MediaKeys {
    MediaKeySession createSession (optional MediaKeySessionType sessionType = "temporary");
    Promise<MediaKeyStatus> getStatusForPolicy (optional MediaKeysPolicy policy = {});
    Promise<boolean> setServerCertificate (BufferSource serverCertificate);
};

createSession()

返回一个新的 MediaKeySession 对象。

注

sessionType 参数会影响返回对象的行为。

调用此方法时，用户代理必须运行以下步骤：

如果此对象的 supported session types 值不包含 sessionType，则抛出 [WEBIDL] 一个 NotSupportedError。

注

如果此对象的 persistent state allowed 值为 false，则是持久会话类型吗？算法返回 true 的 sessionType 值会失败。
如果实现当前状态下不支持 MediaKeySession 操作，则抛出 [WEBIDL] 一个 InvalidStateError。

注

某些实现无法执行 MediaKeySession 算法，直到此 MediaKeys 对象使用 setMediaKeys() 与媒体元素关联。此步骤使应用能够在尝试执行此类操作之前检测到这种不常见行为。
令 session 为一个新的 MediaKeySession 对象，并按如下方式初始化它：
1. 令 sessionId 属性为空字符串。
2. 令 expiration 属性为 NaN。
3. 令 closed 属性为一个新的 promise。
4. 令 key status 为一个新的空 MediaKeyStatusMap 对象，并按如下方式初始化它：
  1. 令 size 属性为 0。
5. 令 session type 值为 sessionType。
6. 令 uninitialized 值为 true。
7. 令 callable 值为 false。
8. 令 closing or closed 值为 false。
9. 令 use distinctive identifier 值为此对象的 use distinctive identifier 值。
10. 令 cdm implementation 值为此对象的 cdm implementation。
11. 令 cdm instance 值为此对象的 cdm instance。
返回 session。

getStatusForPolicy()

返回给定 MediaKeysPolicy 的 MediaKeyStatus。

WebIDLdictionary MediaKeysPolicy {
    DOMString minHdcpVersion;
};

MediaKeysPolicy 字典是一个仅由可选属性组成的对象。每个属性表示一个策略要求。如果 CDM 会基于所有要求允许呈现解密后的媒体数据，则称该策略已满足。

HDCP 策略由 minHdcpVersion 表示。如果系统可以启用指定的 HDCP 版本或更高版本，则该策略会产生 "usable" 的 MediaKeyStatus。 [EME-HDCP-VERSION-REGISTRY] 提供从 minHdcpVersion 值到 HDCP 规范的映射。

注

HDCP 状态的确定应当以与 CDM 在播放期间强制执行此类限制相同的方式进行。这样，应用开发者可以获得合理提示，从而优化他们为开始播放而获取的内容。

调用此方法时，用户代理必须运行以下步骤：

如果 policy 没有存在的字典成员，返回一个以新创建的 TypeError 拒绝的 promise。
令 promise 为一个新的 promise。
排队一个任务以运行以下步骤：
1. 对 policy 的每个字典成员，运行以下步骤：
  1. 如果键不是有效的 MediaKeysPolicy 成员，或者值的类型不正确，则以 TypeError 拒绝 promise 并中止这些步骤。
2. 对 policy 的每个字典成员，运行以下步骤：
  1. 如果 CDM 无法确定该字典成员的 MediaKeyStatus，则以 NotSupportedError 拒绝 promise 并中止这些步骤。
3. 对 policy 的每个字典成员，运行以下步骤：
  1. 如果 CDM 会阻止针对该字典成员呈现解密后的媒体数据，则用 "output-restricted" resolve promise 并中止这些步骤。
4. 用 "usable" resolve promise。
返回 promise。

setServerCertificate()

提供一个服务器证书，用于加密发送给许可证服务器的消息。

对于使用此类证书的密钥系统，应用应当调用 setServerCertificate() 来显式设置服务器证书。否则，许可证交换可能失败。

注

某些密钥系统也支持通过排队一个 "message" 事件算法从服务器请求证书。然而，并非所有使用此类证书的密钥系统都支持这一点。

服务器证书内容特定于密钥系统。它绝不能包含可执行代码。

调用此方法时，用户代理必须运行以下步骤：

如果此对象的 cdm implementation 值所表示的密钥系统实现不支持服务器证书，则返回一个以 false 兑现的 promise。
如果 serverCertificate 为空，则返回一个以新创建的 TypeError 拒绝的 promise。
令 certificate 为获取所持字节副本 serverCertificate 的结果。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 令 sanitized certificate 为 certificate 的经验证和/或清理的版本。
  
  注
  
  用户代理在将证书传递给 CDM 之前应彻底验证该证书。这可能包括验证值是否处于合理限制内、剥离无关数据或字段、预解析它、清理它，和/或生成一个完全清理后的版本。用户代理应检查字段的长度和值是否合理。未知字段应被拒绝或移除。
2. 使用此对象的 cdm instance 处理 sanitized certificate。
3. 如果前一步失败，则以一个新的 DOMException 拒绝 promise，其名称为适当的错误名称。
4. 以 true 兑现 promise。
返回 promise。

运行“是持久会话类型吗？”算法以确定指定的会话类型是否支持任何形式的持久性。运行此算法的请求包括一个 MediaKeySessionType 值。

运行以下步骤：

令 session type 为指定的 MediaKeySessionType 值。
按照以下列表中 session type 的值对应的步骤执行：

"temporary"

返回 false。

"persistent-license"

返回 true。

当 CDM 实例变为不可用时，运行“CDM 不可用”算法，以关闭与 MediaKeys 对象 media keys 关联的所有 MediaKeySession 对象。运行此算法的请求包括一个 MediaKeySessionClosedReason 值。

运行以下步骤：

令 reason 为指定的 MediaKeySessionClosedReason 值。
对于由 media keys 创建且未关闭的每个 MediaKeySession，排队一个任务，以在该会话上以原因 reason 运行会话已关闭算法。

本节描述与存储和持久性相关的一般要求。

如果 MediaKeys 对象的 persistent state allowed 值为 false，则该对象的 cdm instance不得由于对此对象或其创建的任何会话进行操作而持久化状态或访问先前持久化的状态。

如果 MediaKeys 对象的 persistent state allowed 值为 true，则该对象的 cdm instance可以由于对此对象或其创建的任何会话进行操作而持久化状态或访问先前持久化的状态。

持久化数据必须始终以只有此对象的 Document 的源可以访问它的方式存储。此外，该数据必须只能由当前浏览配置文件访问；其他浏览配置文件、用户代理和应用绝不能 访问所存储的数据。见存储在用户设备上的信息。

在支持持久性存储时，另请参见10. 安全和11. 隐私中的其他考虑事项。

MediaKeySession 对象表示一个密钥会话。

当且仅当 MediaKeySession 对象的 closed 属性已被 resolve 时，该对象才是已关闭的。

对于每个未关闭的 MediaKeySession 对象，用户代理应持续执行监视 CDM 状态变化算法。监视 CDM 状态变化算法必须与主事件循环并行运行，但不得与本规范中定义为并行运行的其他过程并行运行。

如果 MediaKeySession 对象未关闭，且创建它的 MediaKeys 对象仍然可访问，则该 MediaKeySession 对象不得被销毁，并且应继续接收事件。否则，不再可访问的 MediaKeySession 对象不得再接收事件，并且可以被销毁。

注

上述规则意味着，在与 CDM 实例关联的所有 MediaKeys 对象和所有 MediaKeySession 对象被销毁之前， CDM 实例不得被销毁。

如果 MediaKeySession 对象在变为页面不可访问时尚未关闭，则 CDM 应关闭与该对象关联的密钥会话。

注

关闭密钥会话会导致销毁任何尚未显式存储的许可证和密钥。

最佳实践 4: 当你需要在执行另一个操作之前确保密钥会话已经关闭时，调用 close() 并等待返回的 promise；不要依赖自动会话关闭的时机。

密钥会话具体何时关闭是实现细节。

对于返回 promise 的方法，所有错误都会通过拒绝返回的 Promise 异步报告。这包括 [WEBIDL] 类型映射错误。

拒绝 promise 时，算法的以下步骤总是会被中止。

WebIDLenum MediaKeySessionClosedReason {
  "internal-error",
  "closed-by-application",
  "release-acknowledged",
  "hardware-context-reset",
  "resource-evicted"
};

MediaKeySessionClosedReason 枚举定义如下：

枚举描述
`internal-error`	会话因 CDM 中发生不可恢复的错误而关闭。当这种情况发生时，应用绝不能在此 `MediaKeys` 实例上创建新会话。
`closed-by-application`	会话由应用显式调用该会话的 `close()` 方法而关闭。
`release-acknowledged`	会话因 CDM 收到许可证销毁记录确认而关闭。
`hardware-context-reset`	会话因 CDM 的原始硬件上下文被重置而关闭。当这种情况发生时，用户代理必须允许应用在此 `MediaKeys` 实例上创建新会话。注这可能由于许多原因发生，包括设备休眠、监视器配置更改等。硬件上下文重置的确切原因取决于实现。
`resource-evicted`	会话因系统需要回收资源以允许创建其他会话而关闭。注这意味着应用遇到了特定于设备的会话资源限制。如果已关闭的会话由于某种原因仍然需要，应用开发者应考虑某种策略来减少所需会话数量，或主动关闭不需要的会话。

WebIDL[Exposed=Window, SecureContext] interface MediaKeySession : EventTarget {
  readonly        attribute DOMString                            sessionId;
  readonly        attribute unrestricted double                  expiration;
  readonly        attribute Promise<MediaKeySessionClosedReason> closed;
  readonly        attribute MediaKeyStatusMap                    keyStatuses;
                  attribute EventHandler                         onkeystatuseschange;
                  attribute EventHandler                         onmessage;
  Promise<undefined>    generateRequest (DOMString initDataType, BufferSource initData);
  Promise<boolean> load (DOMString sessionId);
  Promise<undefined>    update (BufferSource response);
  Promise<undefined>    close ();
  Promise<undefined>    remove ();
};

sessionId 类型为 DOMString，只读: 此对象及其关联密钥或许可证的会话 ID。
expiration 类型为 unrestricted double，只读: 会话中所有密钥的过期时间，或者如果不存在这样的时间，或许可证明确永不过期，则为 NaN，具体由 CDM 确定。此值可能在会话生命周期内发生变化，例如当某个操作触发窗口的开始时。
closed 类型为 Promise<MediaKeySessionClosedReason>，只读: 表示对象因运行会话已关闭算法而变为已关闭的时间。此 promise 只能被 fulfilled，且永不会被拒绝。
keyStatuses 类型为 MediaKeyStatusMap，只读: 指向一个只读映射的引用，该映射把会话已知的密钥 ID映射到关联密钥的当前状态。每个条目必须具有唯一的密钥 ID。

注

每当事件循环运转时，映射条目及其值都可能被更新。该映射永远不会处于不一致或部分更新的状态，但如果两次访问之间事件循环发生运转，则它可能在访问之间发生变化。密钥 ID 可能会作为 load() 或 update() 调用的结果而被添加。密钥 ID 可能会作为移除现有密钥知识（或用一组新密钥替换现有密钥集）的 update() 调用的结果而被移除。如果密钥变得不可用，例如由于过期，则不会移除密钥 ID。相反，此类密钥必须被赋予适当的状态，例如“expired”。

注

某些较旧的平台可能包含不暴露密钥 ID 的密钥系统实现，从而无法提供符合要求的用户代理实现。在这种情况下，为了最大化互操作性，当非空列表合适时（例如，当此对象表示的密钥会话可以包含密钥时），该映射会填充为一个单独的键值对，其中包含单字节密钥 ID 0，以及最适合此对象聚合状态的 MediaKeyStatus。
onkeystatuseschange 类型为 EventHandler: keystatuseschange 事件的事件处理器。
onmessage 类型为 EventHandler: message 事件的事件处理器。

generateRequest()

基于 initData 生成许可证请求。如果算法成功且 promise 被兑现，则始终会排队一个类型为 "license-request" 或 "individualization-request" 的 message。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 closing or closed 值为 true，则返回一个以 InvalidStateError 拒绝的 promise。
如果此对象的 uninitialized 值为 false，则返回一个以 InvalidStateError 拒绝的 promise。
令此对象的 uninitialized 值为 false。
如果 initDataType 是空字符串，则返回一个以新创建的 TypeError 拒绝的 promise。
如果 initData 为空，则返回一个以新创建的 TypeError 拒绝的 promise。
如果由此对象的 cdm implementation 值表示的密钥系统实现不支持将 initDataType 作为初始化数据类型，则返回一个以 NotSupportedError 拒绝的 promise。字符串比较区分大小写。
令 init data 为获取由 initData持有的字节副本的结果。
令 session type 为此对象的 session type。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 如果 init data 对 initDataType 无效，则用新创建的 TypeError 拒绝 promise。
2. 令 sanitized init data 为经过验证和清理的 init data 版本。
  
  用户代理必须在将初始化数据传递给 CDM 之前对其进行彻底验证。这包括验证字段的长度和值是否合理，验证值是否在合理限制内，并剥离无关、不受支持或未知的数据或字段。建议用户代理预解析、清理和/或生成初始化数据的完全清理版本。如果由 initDataType 指定的初始化数据格式支持多个条目，用户代理应该移除 CDM 不需要的条目。用户代理不得重新排序初始化数据中的条目。
3. 如果前一步失败，则用新创建的 TypeError 拒绝 promise。
4. 如果 sanitized init data 为空，则用 NotSupportedError 拒绝 promise。
5. 令 session id 为空字符串。
6. 令 message 为 null。
7. 令 message type 为 null。
8. 令 cdm 为此对象的 cdm instance 值表示的 CDM 实例。
9. 使用 cdm 执行以下步骤：
  1. 如果 cdm 不支持 sanitized init data，则用 NotSupportedError 拒绝 promise。
  2. 按以下列表中 session type 值对应的步骤操作：
    
    "temporary"
    
    令 requested license type 为临时的不可持久化许可证。
    
    注
    
    返回的许可证不得是可持久化的，也不得要求持久化与其相关的信息。
    
    "persistent-license"
    
    令 requested license type 为可持久化许可证。
  3. 令 session id 为唯一的会话 ID 字符串。
    
    如果在 session type 上运行是否为持久会话类型？算法的结果为 true，则该 ID 必须在此对象的 Document 的源中随时间保持唯一，包括跨 Document 和浏览会话。
  4. 如果可以基于 sanitized init data 为 requested license type 生成许可证请求：
    令 message 为基于 sanitized init data 生成并按 initDataType 解释的、针对 requested license type 的许可证请求。
    
    CDM cdm 不得使用任何未通过 sanitized init data 提供的流特定数据，包括媒体数据。
    
    CDM cdm 此时不应该 存储会话数据，包括会话 ID。参见会话存储和持久化。
    
    令 message type 为 "license-request"。
    否则：
    令 message 为在能够基于 sanitized init data 为 requested license type 生成许可证请求之前需要处理的请求。
    
    在随后对 update() 的调用中，CDM 必须基于 sanitized init data 为 requested license type 生成许可证请求，该数据按 initDataType 解释。
    
    令 message type 反映 message 的类型，即 "license-request" 或 "individualization-request"。
10. 排队一个任务以运行以下步骤：
  1. 如果前述任一步骤因资源不足而失败，则用 QuotaExceededError 拒绝 promise。
  2. 如果前述任一步骤因任何其他原因失败，则用一个新的 DOMException 拒绝 promise，其名称为适当的错误名称。
  3. 将 sessionId 属性设置为 session id。
  4. 将此对象的 callable 值设置为 true。
  5. 用 undefined 兑现 promise。
  6. 在 session 上运行排队一个 "message" 事件算法，并提供 message type 和 message。
返回 promise。

load()

将为指定会话存储的数据加载到此对象中。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 closing or closed 值为 true，则返回一个以 InvalidStateError 拒绝的 promise。
如果此对象的 uninitialized 值为 false，则返回一个以 InvalidStateError 拒绝的 promise。
令此对象的 uninitialized 值为 false。
如果 sessionId 为空字符串，则返回一个以新创建的 TypeError 拒绝的 promise。
如果在此对象的 session type 上运行是否为持久会话类型？算法的结果为 false，则返回一个以新创建的 TypeError 拒绝的 promise。
令 origin 为此对象的 Document 的源。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 令 sanitized session ID 为经过验证和/或清理的 sessionId 版本。
  
  注
  
  用户代理在将 sessionId 值传递给 CDM 之前应彻底验证它。至少，这应包括检查其长度和值是否合理（例如，不长于数十个字符且为字母数字）。
2. 如果前一步失败，或者 sanitized session ID 为空，则用新创建的 TypeError 拒绝 promise。
3. 如果此对象的 Document 中存在一个尚未关闭的 MediaKeySession 对象，且其 sessionId 属性为 sanitized session ID，则用 QuotaExceededError 拒绝 promise。
  
  注
  
  换言之，如果此浏览上下文中已存在一个针对该 sanitized session ID 的未关闭会话（无论类型如何），则不要创建会话。
4. 令 expiration time 为 NaN。
5. 令 message 为 null。
6. 令 message type 为 null。
7. 令 cdm 为此对象的 cdm instance 值表示的 CDM 实例。
8. 使用 cdm 执行以下步骤：
  1. 如果 origin 中没有为 sanitized session ID 存储任何数据，则用 false 兑现 promise，并中止此算法的并行步骤。
  2. 如果已存储会话的 session type 与当前 MediaKeySession 的 session type 不同，则用新创建的 TypeError 拒绝 promise。
  3. 令 session data 为 origin 中为 sanitized session ID 存储的数据。此数据不得包含来自其他源的数据或不与任何源关联的数据。
  4. 如果任何 Document 中存在一个尚未关闭的 MediaKeySession 对象，并且该对象表示 session data，则用 QuotaExceededError 拒绝 promise。
    
    注
    
    换言之，如果任何浏览上下文中已存在一个针对该 sanitized session ID 的未关闭持久会话，则不要创建会话。
  5. 加载 session data。
  6. 如果 session data 指示会话的过期时间，则令 expiration time 为该过期时间。
  7. 如果需要发送消息，则执行以下步骤：
    1. 令 message 为基于 session data 生成的消息。
    2. 令 message type 为该消息对应的适当 MediaKeyMessageType。
9. 排队一个任务以运行以下步骤：
  1. 如果前述任一步骤失败，则用适当的错误名称拒绝 promise。
  2. 将 sessionId 属性设置为 sanitized session ID。
  3. 将此对象的 callable 值设置为 true。
  4. 如果已加载会话包含有关任何密钥的信息（存在已知密钥），则在 session 上运行更新密钥状态算法，并提供每个密钥的密钥 ID 以及适当的 MediaKeyStatus。
    
    如果需要额外处理才能确定密钥状态，则使用 "status-pending"。一旦一个或多个密钥的额外处理完成，再次运行更新密钥状态算法，并使用实际状态。
  5. 在 session 上运行更新过期时间算法，并提供 expiration time。
  6. 用 true 兑现 promise。
  7. 如果 message 不为 null，则在 session 上运行排队一个 "message" 事件算法，并提供 message type 和 message。
返回 promise。

update()

向 CDM 提供消息，包括许可证。

response 参数包含要提供给 CDM 的消息。其内容是密钥系统特定的。它不得包含可执行代码。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 closing or closed 值为 true，则返回一个以 InvalidStateError 拒绝的 promise。
如果此对象的 callable 值为 false，则返回一个以 InvalidStateError 拒绝的 promise。
如果 response 为空，则返回一个以新创建的 TypeError 拒绝的 promise。
令 response copy 为获取由 response持有的字节副本的结果。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 令 sanitized response 为经过验证和/或清理的 response copy 版本。
  
  注
  
  用户代理在将 response 传递给 CDM 之前应对其进行彻底验证。这可能包括验证值是否在合理限制内，剥离无关数据或字段、预解析它、清理它，和/或生成完全清理的版本。用户代理应检查字段的长度和值是否合理。未知字段应被拒绝或移除。
2. 如果前一步失败，或者 sanitized response 为空，则用新创建的 TypeError 拒绝 promise。
3. 令 message 为 null。
4. 令 message type 为 null。
5. 令 session closed 为 false。
6. 令 cdm 为此对象的 cdm instance 值表示的 CDM 实例。
7. 使用 cdm 执行以下步骤：
  1. 如果 sanitized response 的格式以任何方式无效，则用新创建的 TypeError 拒绝 promise。
  2. 处理 sanitized response，遵循以下列表中第一个匹配条件的规定：
    如果 sanitized response 包含许可证或密钥
    
    注
    
    这包括初始许可证、更新后的许可证以及许可证续订消息。
    
    处理 sanitized response，遵循以下列表中第一个匹配条件的规定：
    
    如果 sessionType 是 "temporary"，且 sanitized response 未指定应存储其包含的会话数据，包括任何许可证、密钥或类似会话数据
    
    处理 sanitized response，不存储任何会话数据。
    
    如果 sessionType 是 "persistent-license"，且 sanitized response 包含可持久化许可证
    
    处理 sanitized response，存储 sanitized response 中包含的许可证/密钥以及相关会话数据。此类数据必须以只有此对象的 Document 的源能够访问的方式存储。
    
    否则
    
    用新创建的 TypeError 拒绝 promise。
    
    另见会话存储和持久化。
    
    每个会话的状态信息（包括密钥）必须以这样的方式存储：关闭一个会话不会影响其他会话中可观察的状态，即使它们包含重叠的密钥 ID。
    
    注
    
    当 sanitized response 包含密钥和/或相关数据时，cdm 很可能会（在内存中）存储以密钥 ID 索引的密钥及相关数据。
    
    注
    
    会话内的替换算法依赖于密钥系统。
    
    注
    
    建议 CDM 实现支持每个 MediaKeySession 对象的标准且合理较高的最小密钥数量，包括标准替换算法，以及标准且合理较高的 MediaKeySession 对象最小数量。这使得可跨用户代理实现合理数量的密钥轮换算法，并且在涉及同一元素中各种流（例如自适应流、各种音频和视频轨道）使用不同密钥的用例中，可能减少播放中断的可能性。
    
    如果 sanitized response 包含许可证销毁记录确认，并且 sessionType 是 "persistent-license"
    运行以下步骤：
    
    关闭密钥会话并清除与此对象关联的所有已存储会话数据，包括 sessionId 和许可证销毁记录。
    
    注
    
    之后用此对象的 sessionId 的值调用 load() 将会失败，因为没有为该会话 ID 存储任何数据。
    
    将 session closed 设置为 true。
    否则
    
    处理 sanitized response，不存储任何会话数据。
    
    注
    
    例如，sanitized response 可能包含将用于生成另一个 message 事件的信息。在这种情况下，无需针对 sessionType 验证内容。
  3. 如果需要发送消息，则执行以下步骤：
    1. 令 message 为该消息。
    2. 令 message type 为该消息对应的适当 MediaKeyMessageType。
8. 排队一个任务以运行以下步骤：
  1. 如果 session closed 为 true：
    
    在此对象上运行会话已关闭算法，原因为 "release-acknowledged"。
    
    否则：
    运行以下步骤：
    
    如果此对象的 CDM 已知密钥集合发生变化，或任何密钥的状态发生变化，则在 session 上运行更新密钥状态算法，并提供每个已知密钥的密钥 ID 以及适当的 MediaKeyStatus。
    
    如果需要额外处理才能确定密钥状态，则使用 "status-pending"。一旦一个或多个密钥的额外处理完成，则再次运行更新密钥状态算法，并使用实际状态。
    
    如果会话的过期时间发生变化，则在 session 上运行更新过期时间算法，并提供新的过期时间。
    
    如果前述任一步骤失败，则用一个新的 DOMException 拒绝 promise，其名称为适当的错误名称。
    
    如果 message 不为 null，则在 session 上运行排队一个 "message" 事件算法，并提供 message type 和 message。
  2. 用 undefined 兑现 promise。
返回 promise。

close()

表示应用不再需要该会话，并且 CDM 应释放与该会话关联的任何资源并关闭它。持久化数据不应被释放或清除。

注

当请求已被处理时，返回的 promise 会被兑现；当会话关闭时， closed 属性 promise 会以 "closed-by-application" 兑现。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 closing or closed 值为 true，则返回一个以 undefined 兑现的 promise。
如果此对象的 callable 值为 false，则返回一个以 InvalidStateError 拒绝的 promise。
令 promise 为一个新的 promise。
将此对象的 closing or closed 值设置为 true。
并行运行以下步骤：
1. 令 cdm 为此对象的 cdm instance 值表示的 CDM 实例。
2. 使用 cdm 关闭与此对象关联的密钥会话。
  
  注
  
  关闭密钥会话会导致销毁任何尚未被显式存储的许可证和密钥。
3. 排队一个任务以运行以下步骤：
  1. 用 undefined 兑现 promise。
  2. 在此对象上运行会话已关闭算法，原因为 "closed-by-application"。
返回 promise。

remove()

移除与会话关联的所有许可证和密钥。对于持久会话类型，一旦释放消息确认由 update() 处理，其他会话数据将按每种会话类型的定义被清除。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 closing or closed 值为 true，则返回一个以 InvalidStateError 拒绝的 promise。
如果此对象的 callable 值为 false，则返回一个以 InvalidStateError 拒绝的 promise。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 令 cdm 为此对象的 cdm instance 值表示的 CDM 实例。
2. 令 message 为 null。
3. 令 message type 为 null。
4. 使用 cdm 执行以下步骤：
  1. 如果有任何许可证和/或密钥与会话关联：
    1. 销毁与会话关联的许可证和/或密钥。
      
      注
      
      这意味着销毁许可证和/或密钥，无论它们是在内存中、持久存储中，还是二者之中。
    2. 按以下列表中此对象的 session type 值对应的步骤操作：
      "temporary"
      
      继续以下步骤。
      
      "persistent-license"
      
      令 record of license destruction 为由此对象表示的许可证的许可证销毁记录。
      
      存储 record of license destruction。
      
      令 message 为包含或反映 record of license destruction 的消息。
5. 排队一个任务以运行以下步骤：
  1. 在 session 上运行更新密钥状态算法，并提供会话中所有密钥 ID 以及每个密钥对应的 "released" MediaKeyStatus 值。
  2. 在 session 上运行更新过期时间算法，并提供 NaN。
  3. 如果前述任一步骤失败，则用一个新的 DOMException 拒绝 promise，其名称为适当的错误名称。
  4. 令 message type 为 "license-release"。
  5. 用 undefined 兑现 promise。
  6. 如果 message 不为 null，则在 session 上运行排队一个 "message" 事件算法，并提供 message type 和 message。
返回 promise。

MediaKeyStatusMap 对象是一个只读映射，将密钥 ID 映射到关联密钥的当前状态。

密钥的状态独立于该密钥当前是否正在使用，也独立于媒体数据。

注

例如，如果某个密钥有当前无法满足的输出要求，则该密钥的状态应根据情况为 "output-downscaled" 或 "output-restricted"，无论该密钥是否曾经需要或当前需要用于解密媒体数据。

WebIDL[Exposed=Window, SecureContext] interface MediaKeyStatusMap {
  iterable<BufferSource,MediaKeyStatus>;
  readonly attribute unsigned long size;
  boolean has (BufferSource keyId);
  (MediaKeyStatus or undefined) get (BufferSource keyId);
};

size 类型为 unsigned long，只读: 已知密钥的数量。

has(): 如果由 keyId 标识的密钥状态已知，则返回 true。
get(): 返回由 keyId 标识的密钥的 MediaKeyStatus；如果由 keyId 标识的密钥状态未知，则返回 undefined。

此接口具有由 iterable [WebIDL] 带来的 entries、keys、values、 forEach 和 @@iterator 方法。

要迭代的值对是由所有已知密钥的密钥 ID及关联的 MediaKeyStatus 值组成的对集合的快照，并按密钥 ID排序。密钥 ID 按如下方式比较：对于长度为 m 的密钥 ID A 和长度为 n 的 B，并使 m <= n，当且仅当 A 的 m 个八位字节按字典序小于 B 的前 m 个八位字节，或这些八位字节相等且 m < n 时，令 A < B。

WebIDLenum MediaKeyStatus {
  "usable",
  "expired",
  "released",
  "output-restricted",
  "output-downscaled",
  "usable-in-future",
  "status-pending",
  "internal-error"
};

MediaKeyStatus 枚举定义如下：

枚举描述
`usable`	CDM 确定该密钥当前可用于解密。当前可能不可用于解密的密钥不得具有此状态。
`expired`	该密钥因其过期时间已过去而不再可用于解密。 `expiration` 属性表示的时间必须早于当前时间。会话中的所有其他密钥必须具有此状态。
`released`	密钥本身不再可供 CDM 使用，但关于该密钥的信息，例如许可证销毁记录，是可用的。
`output-restricted`	存在与该密钥关联且当前无法满足的输出限制。使用此密钥解密的媒体数据在必要时可根据输出限制被阻止呈现。应用应避免使用会触发与该密钥关联的输出限制的流。
`output-downscaled`	存在与该密钥关联且当前无法满足的输出限制。使用此密钥解密的媒体数据在必要时可根据输出限制以较低质量（例如分辨率）呈现。应用应避免使用会触发与该密钥关联的输出限制的流。支持降级缩放是可选的。应用不应该依赖降级缩放来确保在无法满足输出要求时不中断播放。
`usable-in-future`	该密钥尚未可用于解密，因为开始时间在未来。当达到其开始时间时，该密钥将变得可用。
`status-pending`	该密钥的状态尚未知，且正在确定中。一旦确定，该状态将用实际状态更新。
`internal-error`	该密钥因 CDM 中与其他值无关的错误而当前不可用于解密。此值不能由应用采取行动处理。

MediaKeyMessageEvent 对象用于 message 事件。

WebIDLenum MediaKeyMessageType {
  "license-request",
  "license-renewal",
  "license-release",
  "individualization-request"
};

MediaKeyMessageType 定义如下：

枚举描述
`license-request`	消息包含对新许可证的请求。
`license-renewal`	消息包含对现有许可证续订的请求。
`license-release`	消息包含许可证销毁记录。
`individualization-request`	消息包含对应用辅助个体化（或重新个体化）的请求。与所有其他消息一样，消息中的任何标识符必须每源且每配置文件可区别，并且绝不能是可区别永久标识符。

WebIDL[Exposed=Window, SecureContext]
interface MediaKeyMessageEvent : Event {
  constructor(DOMString type, MediaKeyMessageEventInit eventInitDict);
  readonly attribute MediaKeyMessageType messageType;
  readonly attribute ArrayBuffer         message;
};

messageType 类型为 MediaKeyMessageType，只读: 消息的类型。
实现绝不能要求应用处理消息类型。实现必须支持不区分消息的应用，并且 绝不能要求应用处理消息类型。具体而言，密钥系统必须支持将所有类型的消息传递给单个 URL。

注

此属性允许应用在不解析消息的情况下区分消息。它旨在启用可选的应用和/或服务器优化，但应用不需要使用它。
message 类型为 ArrayBuffer，只读: 来自 CDM 的消息。消息特定于密钥系统。

WebIDLdictionary MediaKeyMessageEventInit : EventInit {
  required MediaKeyMessageType messageType;
  required ArrayBuffer         message;
};

messageType 类型为 MediaKeyMessageType: 消息的类型。
message 类型为 ArrayBuffer: 消息。

本节为非规范性内容。

事件名称	接口	分派时机...
`keystatuseschange`	`Event`	会话中的密钥或其状态已发生变化。
`message`	`MediaKeyMessageEvent`	CDM 已为该会话生成一条消息。

“排队一个 "message" 事件”算法会将一个 message 事件排队到 MediaKeySession 对象。运行此算法的请求包括目标 MediaKeySession 对象、一个 message type 和一个 message。

message绝不能包含可区别永久标识符，即使是以加密形式。若 MediaKeySession 对象的 use distinctive identifier 值为 false，则 message绝不能包含可区别标识符，即使是以加密形式。

运行以下步骤：

令 session 为指定的 MediaKeySession 对象。
排队一个任务，以使用 MediaKeyMessageEvent 接口创建一个名为 message 的事件；该事件不冒泡且不可取消，其 type 属性设置为 message，其 isTrusted 属性初始化为 true，并将其分派到 session。

事件接口 MediaKeyMessageEvent 具有：
- messageType = 指定的 message type
  
  message = 指定的 message

“更新密钥状态”算法会更新 MediaKeySession 的已知密钥集合，或更新一个或多个密钥的状态。运行此算法的请求包括目标 MediaKeySession 对象，以及一个由密钥 ID 和关联的 MediaKeyStatus 组成的对序列。

注

该算法总是在任务中运行。

运行以下步骤：

令 session 为关联的 MediaKeySession 对象。
令 input statuses 为密钥 ID 和关联的 MediaKeyStatus 对序列。
令 statuses 为 session 的 keyStatuses 属性。
运行以下步骤以替换 statuses 的内容：
1. 清空 statuses。
2. 对 input statuses 中的每个对。
  1. 令 pair 为该对。
  2. 向 statuses 插入一个以 pair 的密钥 ID 为键的条目，其值为 pair 的 MediaKeyStatus 值。
注

这些步骤的效果是，session 的 keyStatuses 属性内容会被替换，而不会使对该属性的现有引用失效。从脚本的角度看，此替换是原子的。也就是说，脚本永远不会看到部分填充的序列。
排队一个任务，以在 session 上触发一个事件，其名称为 keystatuseschange。
排队一个任务，以在每个媒体元素上运行必要时尝试恢复播放算法；这些媒体元素的 mediaKeys 属性是创建该 session 的 MediaKeys 对象。

“更新到期时间”算法会更新 MediaKeySession 的到期时间。运行此算法的请求包括目标 MediaKeySession 对象和新的到期时间，该时间可以是 NaN。

注

该算法总是在任务中运行。

运行以下步骤：

令 session 为关联的 MediaKeySession 对象。
令 expiration time 为 NaN。
如果新的到期时间不是 NaN，则令 expiration time 为该到期时间。
将 session 的 expiration 属性设置为以时间表示的 expiration time。

会话已关闭算法会在密钥会话已被 CDM 关闭后，更新 MediaKeySession 状态。运行此算法的请求包括一个目标 MediaKeySession 对象和一个 MediaKeySessionClosedReason。

注

该算法始终在一个任务中运行。

当会话关闭时，与其关联的许可证和密钥不再可用于解密媒体数据。在此算法运行后，所有 MediaKeySession 方法都将失败，并且不会再为此对象排队任何事件。

注

CDM 可以在任何时候关闭会话，例如当该会话不再需要时，或当系统资源丢失时。在这种情况下，监视 CDM 状态变化算法会检测该变化并运行此算法。

其他会话中的密钥必须不受影响，即使它们具有重叠的密钥 ID。

在此算法运行后，由此算法排队的事件的事件处理器将会被执行，但不能再排队更多事件。因此，不会有任何消息因关闭会话而由 CDM 发送。

运行以下步骤：

令 session 为关联的 MediaKeySession 对象。
令 promise 为 session 的 closed 属性。
如果 promise 已兑现，则中止这些步骤。
将 session 的 closing or closed 值设置为 true。
在 session 上运行更新密钥状态算法，并提供一个空序列。
在 session 上运行更新过期时间算法，并提供 NaN。
用所提供的原因兑现 promise。

监视 CDM 状态变化算法会在 CDM 状态的各个方面发生变化时执行所需步骤。

注

此算法仅适用于未被其他算法涵盖的 CDM 状态变化。例如，update() 可能导致消息、密钥状态变化和/或过期时间变化，但这些都在该算法内处理。

注

该算法始终与主事件循环并行运行。

运行以下步骤：

令 session 为 MediaKeySession 对象。
令 cdm 为由 session 的 cdm instance 值表示的 CDM 实例。
如果 cdm 有尚未发送的外发消息，则排队一个任务以执行以下步骤：
1. 令 message type 和 message 分别为消息类型和消息。
2. 运行排队一个 "message" 事件算法，传入 session、 message type 和 message。
如果 cdm 已更改 session 已知的密钥集合，或一个或多个密钥的状态，则排队一个任务以执行以下步骤：
1. 令 statuses 为密钥 ID 和 MediaKeyStatus 值对的列表，其中包含 session 已知的每个密钥对应的一个值对。
2. 运行更新密钥状态算法，传入 session 和 statuses。
如果 cdm 已更改 session 的过期时间，则排队一个任务以执行以下步骤：
1. 令 expiration time 为 session 的新过期时间。
2. 运行更新过期时间算法，传入 session 和 expiration time。
如果 cdm 已关闭 session，则排队一个任务以在 session 上运行会话已关闭算法，并提供适当的 MediaKeySessionClosedReason 值。
如果 cdm 因硬件上下文重置而变得不可用，则排队一个任务以运行CDM 不可用算法，原因为 "hardware-context-reset"。
如果 cdm 因任何其他原因而变得不可用，则排队一个任务以运行CDM 不可用算法，原因为 "internal-error"。

这些方法通过使用简单异常 [WEBIDL] 或 DOMException 拒绝返回的 promise 来报告错误。算法中使用了以下来自 [WEBIDL] 的简单异常和 DOMException 名称。算法中指定的原因列在每个名称旁边，尽管这些名称也可以 因其他原因使用。

名称	可能原因（非详尽）
`TypeError`	参数为空。初始化数据无效。响应格式无效。为 "`temporary`" 会话提供了持久许可证。
`NotSupportedError`	无法移除现有 `MediaKeys` 对象。不支持该密钥系统。密钥系统不支持该初始化数据类型。密钥系统不支持该会话类型。密钥系统不支持该初始化数据。密钥系统不支持该操作。
`InvalidStateError`	现有 `MediaKeys` 对象此时无法移除。会话已被使用。会话尚未初始化。会话已关闭。
`QuotaExceededError`	`MediaKeys` 对象不能与更多 `HTMLMediaElement` 一起使用。已存在针对此 sessionId 的未关闭会话。资源不足，无法创建新会话或许可证请求。

本节提供会话存储和持久化的概述，以补充这些算法。

除了存储和持久化中的要求外，还适用以下要求。

如果在此对象的 session type 上运行是否为持久会话类型？算法的结果为 false，则用户代理和 CDM 不得在任何时候持久化该会话的记录或与该会话相关的数据。这包括许可证、密钥、许可证销毁记录，以及会话 ID。

本节其余部分适用于是否为持久会话类型？算法返回 true 的会话类型。

CDM 不应该存储会话数据，包括会话 ID，直到首次调用 update()。具体而言，CDM 不应该在 generateRequest() 算法期间存储会话数据。这确保应用知道该会话，并知道它最终需要移除该会话。

当会话被清除时，与该会话关联的所有数据必须被清除，例如在 update() 中处理许可证销毁记录确认时。参见持久化数据。

CDM 必须确保给定会话的数据只存在于一个尚未在任何 Document 中关闭的 MediaKeySession 对象中。换言之，当已经有一个 MediaKeySession 表示由 sessionId 参数指定的会话时，load() 必须失败，这可能是因为通过 generateRequest() 创建它的对象仍处于活动状态，或者它已通过 load() 加载到另一个对象中。只有曾表示该会话的所有对象都已关闭时，会话才可以再次加载。

使用是否为持久会话类型？算法返回 true 的类型创建会话的应用，应该随后移除已存储的数据，方法是先使用 remove() 发起移除过程，然后确保该移除过程成功完成，该过程可能涉及消息交换。CDM 也可以在适当时移除会话，但应用不应该依赖这一点。

支持持久化存储时的其他考虑事项，参见10. 安全和11. 隐私。

本节规定在支持 Encrypted Media Extensions 时，对 HTMLMediaElement [HTML] 的新增和修改。

向 HTMLMediaElement 添加以下内部值：

attaching media keys，其应具有布尔值。
encrypted block queue，其应是一个等待解密的加密块队列。
decryption blocked waiting for key，其应具有布尔值。
playback blocked waiting for key，其应具有布尔值。

对 HTMLMediaElement 的行为作出以下修改：

当创建 HTMLMediaElement 时，其 attaching media keys 值应初始化为 false，其 encrypted block queue 值应为空，其 decryption blocked waiting for key 值应初始化为 false，并且其 playback blocked waiting for key 值应初始化为 false。
当当前播放位置发生变化，而这种变化不是正常播放过程中沿播放方向前进时，encrypted block queue 值应为空，decryption blocked waiting for key 值应初始化为 false，并且 playback blocked waiting for key 值应设置为 false。

注

换言之，例如在加载媒体资源或跳转时，应重置这些值。
除 [HTML] 中指定的条件外，如果 HTMLMediaElement 的 playback blocked waiting for key 值为 true，则该元素应被视为被阻塞的媒体元素。
当用户代理已准备好开始播放，并且在资源获取算法期间遇到媒体数据可能包含加密块的指示时，用户代理应运行媒体数据可能包含加密块算法。

注

对于某些容器格式，这种指示与初始化数据是分开的。

注

该算法将在解析相关容器数据之后运行，包括运行遇到初始化数据算法，但应在解码开始之前运行。
当用户代理在资源获取算法期间，在媒体数据中遇到初始化数据时，用户代理应运行遇到初始化数据算法。

注

某些容器格式可能支持不包含初始化数据的加密媒体数据，从而支持不会触发此算法的媒体数据。
对于在资源获取算法期间遇到的每个加密媒体数据块，用户代理应按照遇到加密块的顺序运行遇到加密块算法。

注

上述步骤为用户代理实现提供了灵活性，使其可以在遇到加密块之后、在播放需要之前的任何时间执行解密。
当 decryption blocked waiting for key 值为 true 时发生以下任一情况，用户代理应运行等待密钥算法。
- 用户代理无法沿播放方向推进当前播放位置。
- 用户代理无法为当前播放位置提供数据。
  
  注
  
  例如，在播放开始时或跳转之后。
添加如下指定的其他属性和一个方法。

对于返回 promise 的方法，所有错误都会通过拒绝返回的 Promise 异步报告。这包括 [WEBIDL] 类型映射错误。

拒绝 promise 时，算法的步骤总是会被中止。

WebIDL[Exposed=Window] partial interface HTMLMediaElement {
  [SecureContext] readonly        attribute MediaKeys?   mediaKeys;
                                  attribute EventHandler onencrypted;
                                  attribute EventHandler onwaitingforkey;
  [SecureContext] Promise<undefined> setMediaKeys (MediaKeys? mediaKeys);
};

mediaKeys 类型为 MediaKeys，只读，可空: 在为此媒体元素解密加密媒体数据时使用的 MediaKeys。
onencrypted 类型为 EventHandler: encrypted 事件的事件处理器。所有 HTMLMediaElement 都必须同时支持它作为内容属性和 IDL 属性。
onwaitingforkey 类型为 EventHandler: waitingforkey 事件的事件处理器。所有 HTMLMediaElement 都必须同时支持它作为内容属性和 IDL 属性。

setMediaKeys()

提供在播放期间解密媒体数据时要使用的 MediaKeys。

注

在播放期间支持清除或替换关联的 MediaKeys 对象是实现质量问题。在许多情况下，这会导致糟糕的用户体验或被拒绝的 promise。

当调用此方法时，用户代理必须运行以下步骤：

如果此对象的 attaching media keys 值为 true，则返回一个以 InvalidStateError 拒绝的 promise。
如果 mediaKeys 和 mediaKeys 属性是同一个对象，则返回一个以 undefined 兑现的 promise。
令此对象的 attaching media keys 值为 true。
令 promise 为一个新的 promise。
并行运行以下步骤：
1. 如果以下所有条件均成立：
  - mediaKeys 不为 null，
  - 由 mediaKeys 表示的 CDM 实例已被另一个媒体元素使用
  - 用户代理无法将其与此元素一起使用
  则运行以下步骤：
  1. 排队一个任务以运行以下步骤：
    1. 令此对象的 attaching media keys 值为 false。
    2. 用 QuotaExceededError 拒绝 promise。
  2. 中止这些步骤。
2. 如果 mediaKeys 属性不为 null，则运行以下步骤：
  1. 如果用户代理或 CDM 不支持移除关联，则运行以下步骤：
    1. 排队一个任务以运行以下步骤：
      1. 令此对象的 attaching media keys 值为 false。
      2. 用 NotSupportedError 拒绝 promise。
    2. 中止这些步骤。
  2. 如果当前无法移除该关联，则运行以下步骤：
    
    注
    
    例如，某些实现可能不允许在播放期间移除。
    1. 排队一个任务以运行以下步骤：
      1. 令此对象的 attaching media keys 值为 false。
      2. 用 InvalidStateError 拒绝 promise。
    2. 中止这些步骤。
  3. 停止使用由 mediaKeys 属性表示的 CDM 实例来解密媒体数据，并移除与媒体元素的关联。
  4. 如果前一步失败，则运行以下步骤：
    1. 排队一个任务以运行以下步骤：
      1. 令此对象的 attaching media keys 值为 false。
      2. 用适当的错误名称拒绝 promise。
    2. 中止这些步骤。
3. 如果 mediaKeys 不为 null，则运行以下步骤：
  1. 将由 mediaKeys 表示的 CDM 实例与媒体元素关联，以解密媒体数据。
  2. 如果前一步失败，则运行以下步骤：
    1. 排队一个任务以运行以下步骤：
      1. 将 mediaKeys 属性设置为 null。
      2. 令此对象的 attaching media keys 值为 false。
      3. 用一个新的 DOMException 拒绝 promise，其名称为适当的错误名称。
    2. 中止这些步骤。
4. 排队一个任务以运行以下步骤：
  1. 将 mediaKeys 属性设置为 mediaKeys。
  2. 令此对象的 attaching media keys 值为 false。
  3. 用 undefined 兑现 promise。
  4. 如果 mediaKeys 不为 null，则在媒体元素上运行必要时尝试恢复播放算法。
返回 promise。

MediaEncryptedEvent 对象用于 encrypted 事件。

WebIDL[Exposed=Window]
interface MediaEncryptedEvent : Event {
    constructor(DOMString type, optional MediaEncryptedEventInit eventInitDict = {});
    readonly        attribute DOMString    initDataType;
    readonly        attribute ArrayBuffer? initData;
};

initDataType 类型为 DOMString，只读: 指示 initData 属性中包含的初始化数据的初始化数据类型。
initData 类型为 ArrayBuffer，只读，可空: 该事件的初始化数据。

WebIDLdictionary MediaEncryptedEventInit : EventInit {
  DOMString    initDataType = "";
  ArrayBuffer? initData = null;
};

initDataType 类型为 DOMString，默认值为 "": 初始化数据类型。
initData 类型为 ArrayBuffer，可空，默认值为 null: 初始化数据。

本节为非规范性内容。

事件名称	接口	分派时机...	前提条件
`encrypted`	`MediaEncryptedEvent`	用户代理在初始化数据中遇到媒体数据。	该元素的 `readyState` 等于或大于 `HAVE_METADATA`。注该元素可能正在播放或已经播放过。
`waitingforkey`	`Event`	播放因等待密钥而被阻塞。	`readyState` 等于或小于 `HAVE_CURRENT_DATA`。该元素的 `playback blocked waiting for key` 值刚变为 `true`。

“媒体数据可能包含加密块”算法会在用户代理要求在播放媒体数据之前指定 MediaKeys 对象时暂停播放。运行此算法的请求包括目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
如果 media element 的 mediaKeys 属性为 null，且该实现要求在解码可能加密的媒体数据之前指定 MediaKeys 对象，则运行以下步骤：

注

当应用在调用 setMediaKeys() 提供 MediaKeys 对象之前提供媒体数据时，可能会到达这些步骤。选择一个 CDM 可能会影响所使用的管线和/或解码器，因此某些实现可能会延迟播放可能包含加密块的媒体数据，直到通过将 MediaKeys 对象传给 setMediaKeys() 来指定 CDM。
1. 在 media element 上运行等待密钥算法。
2. 等待恢复播放的信号。

“遇到初始化数据”算法会为在媒体数据中遇到的初始化数据排队一个 encrypted 事件。运行此算法的请求包括一个目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
令 initDataType 为空字符串。
令 initData 为 null。
如果媒体数据是 CORS 同源且不是混合内容，则运行以下步骤：
1. 令 initDataType 为表示初始化数据的初始化数据类型的字符串。
2. 令 initData 为初始化数据。
注

虽然媒体元素可以允许加载“可升级内容” [MIXED-CONTENT]，但用户代理不得将此类媒体数据中的初始化数据暴露给应用。
排队一个任务，以创建一个名为 encrypted 的事件，该事件不冒泡且不可取消，使用 MediaEncryptedEvent 接口，将其 type 属性设置为 encrypted，并将其 isTrusted 属性初始化为 true，然后将其分派到 media element。

事件接口 MediaEncryptedEvent 具有：
- initDataType = initDataType
  
  initData = initData
注

readyState 不会改变，也没有算法被中止。此事件仅提供信息。

注

如果媒体数据不是 CORS 同源或是混合内容，则 initData 属性将为 null。应用可以从备用来源获取初始化数据。

“遇到加密块”算法会将一个加密媒体数据块排队等待解密，并在可能时尝试解密。运行此算法的请求包括目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
令 block 为加密媒体数据块。
将 block 添加到 media element 的 encrypted block queue 末尾。
如果 media element 的 decryption blocked waiting for key 值为 false，则运行尝试解密算法。

“尝试解密”算法会尝试解密已排队等待解密的媒体数据。运行此算法的请求包括一个目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
如果 media element 的 encrypted block queue 为空，则中止这些步骤。
如果 media element 的 mediaKeys 属性不为 null，则运行以下步骤：
1. 令 media keys 为该属性所引用的 MediaKeys 对象。
2. 令 cdm 为 media keys 的 cdm instance 值所表示的 CDM 实例。
3. 如果 cdm 因任何原因不再可用，则运行以下步骤：
  1. 运行媒体数据已损坏步骤，该步骤属于资源获取算法。
  2. 在 media keys 上运行CDM 不可用算法；若为硬件上下文重置，则原因为 "hardware-context-reset"，否则为 "internal-error"。
  3. 中止这些步骤。
4. 如果至少存在一个由 media keys 创建且未关闭的 MediaKeySession，则运行以下步骤：
  
  注
  
  此检查确保 cdm 已完成加载，并且是匹配密钥可用的前提条件。
  1. 令 block 为 media element 的 encrypted block queue 中的第一个条目。
  2. 令 block key ID 为 block 的密钥 ID。
    
    注
    
    密钥 ID 通常由容器指定。
  3. 使用 cdm 执行以下步骤：
    1. 令 available keys 为由 media keys 创建的会话中密钥的并集。
    2. 令 block key 为 null。
    3. 如果 available keys 中有任何密钥对应于 block key ID，且可用于解密，则令 session 为包含该密钥的 MediaKeySession 对象，并令 block key 为该密钥。
      
      注
      
      如果多个会话包含可用于 block key ID 的解密的密钥，要使用哪个会话和密钥取决于密钥系统。
    4. 如果运行前一步导致 available keys 中任何密钥的状态发生变化，则排队一个任务，在每个受影响的 session 上运行更新密钥状态算法，并提供该会话中的所有密钥 ID以及每个密钥对应的适当 MediaKeyStatus 值。
    5. 如果 block key 不为 null，则运行以下步骤：
      1. 使用 cdm，用 block key 解密 block。
      2. 按照以下列表中第一个匹配条件的步骤执行：
        
        如果解密失败
        
        运行媒体数据已损坏步骤，该步骤属于资源获取算法。
        
        如果 cdm 不再可用，则在 media keys 上运行CDM 不可用算法；对于硬件上下文重置，原因为 "hardware-context-reset"，否则为 "internal-error"。
        
        中止这些步骤。
        
        否则
        
        从 media element 的 encrypted block queue 前端移除 block。
        
        按正常方式处理解密后的块。
        
        注
        
        换言之，解码该块。
        
        返回此算法的开头。
        
        注
        
        并非所有解密问题（例如使用了错误的密钥）都会导致解密失败。在这种情况下，此处不会触发错误，但可能会在解码期间触发。
      注
      
      否则，任何会话中都没有用于 block key ID 的密钥，因此继续。
将 media element 的 decryption blocked waiting for key 值设置为 true。

注

当没有可用于解密 block 的密钥时，会到达此步骤。

注

一旦用户代理已渲染无法解密的块之前的块（尽其所能，例如所有完整的视频帧），它将运行等待密钥算法。

该算法不会在此处直接运行，以允许实现提前于当前播放位置解密和解码媒体数据，而不影响可见行为。

注

对于基于帧的加密，当媒体元素作为资源获取算法的一部分尝试解码帧时，可以按如下方式实现：

令 encrypted 为 false。
检测该帧是否已加密。

如果该帧已加密

运行上述步骤。

否则

继续。
解码该帧。
提供该帧用于渲染。

“等待密钥”算法会排队一个 waitingforkey 事件并更新 readyState。只有当 HTMLMediaElement 对象可能正在播放，且其 readyState 等于或大于 HAVE_FUTURE_DATA 时，才应调用它。运行此算法的请求包括目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
如果 media element 的 playback blocked waiting for key 值为 true，则中止这些步骤。
将 media element 的 playback blocked waiting for key 值设置为 true。

注

由于上述步骤，如果该媒体元素尚未成为被阻塞的媒体元素，它将成为被阻塞的媒体元素。在这种情况下，媒体元素将停止播放。
按照以下列表中第一个匹配条件的步骤执行：

如果可获得即时当前播放位置的数据

将 media element 的 readyState 设置为 HAVE_CURRENT_DATA。

否则

将 media element 的 readyState 设置为 HAVE_METADATA。

注

换言之，如果当前播放位置的视频帧和音频数据因为未加密和/或成功解密而已被解码，则将 readyState 设置为 HAVE_CURRENT_DATA。否则，包括之前曾是这种情况但数据已不再可用时，将 readyState 设置为 HAVE_METADATA。
排队一个任务，以在 media element 上触发一个事件，其名称为 waitingforkey。
暂停播放。

“必要时尝试恢复播放”算法会在媒体元素因等待密钥而被阻塞且所需密钥当前可用于解密时恢复播放。运行此算法的请求包括目标 HTMLMediaElement 对象。

运行以下步骤：

令 media element 为指定的 HTMLMediaElement 对象。
如果 media element 的 playback blocked waiting for key 为 false，则中止这些步骤。
在 media element 上运行尝试解密算法。
如果用户代理可以沿播放方向推进当前播放位置：
1. 将 media element 的 decryption blocked waiting for key 值设置为 false。
2. 将 media element 的 playback blocked waiting for key 值设置为 false。
  
  注
  
  由于上述步骤，媒体元素可能不再是被阻塞的媒体元素，因此播放可以恢复。
3. 视适当情况，将 media element 的 readyState 值设置为 HAVE_CURRENT_DATA、 HAVE_FUTURE_DATA 或 HAVE_ENOUGH_DATA。
  
  注
  
  超过 HAVE_CURRENT_DATA 的状态以及 canplaythrough 事件不会（或不太可能）考虑当前密钥之外的密钥可用性。
  
  就绪状态的变化还可能导致 HTMLMediaElement 事件按此处所述被触发。

本节为非规范性内容。

由 CDM 处理的媒体数据可以无法通过 Web 平台 API 以通常方式获得（例如使用 CanvasRenderingContext2D 的 drawImage() 方法，以及 AudioContext MediaElementAudioSourceNode）。本规范不定义这种媒体数据不可用的条件；不过，如果媒体数据无法通过这类 API 获得，则它们可以表现得好像根本不存在媒体数据。

在不是由 UA 执行媒体渲染的情况下，例如基于硬件的媒体管线，可能无法使用完整的 HTML 渲染能力，例如 CSS Transforms。一种可能的限制是，视频媒体可以被限制为只出现在边与窗口边缘平行且方向正常的矩形区域中。

本节定义实现要求——适用于用户代理和密钥系统，包括 CDM 和服务器——这些要求可能未在算法中明确说明。这里以及整个规范中的要求适用于所有实现，无论 CDM 是独立于用户代理，还是用户代理的一部分。

用户代理实现者必须确保 CDM 不访问任何并非使用本规范特性播放受保护媒体合理所需的信息、存储或系统能力。具体而言，CDM 不得：

访问网络资源，无论是本地还是远程，除非通过用户代理并且本规范明确允许。
访问存储（例如磁盘或内存），除非这是使用本规范特性播放受保护媒体的合理所需。
访问除 CDM 状态和持久化数据以外的用户数据。
访问硬件组件或设备，除非这是使用本规范特性播放受保护媒体的合理所需。

用户代理实现者可以使用各种技术来满足上述要求。例如，同时实现其自己的 CDM 的用户代理实现者可以将上述内容作为该组件的设计要求。使用第三方 CDM 的用户代理实现者可以确保其在受限环境（例如 “沙盒”）中执行，且无法访问被禁止的信息和组件。

所有发往和来自 CDM 的消息和通信，例如 CDM 与许可证服务器之间的通信，必须经由用户代理传递。CDM 不得发起直接的带外网络请求。除直接个性化中描述的那些以外的所有消息和通信必须通过本规范中定义的 API 经由应用传递。具体而言，所有包含应用、源或内容特定信息的通信，或者发送到由应用指定或基于其源的 URL 的通信，必须通过这些 API。这包括所有许可证交换消息。

持久化数据包括由 CDM 存储的所有数据，或由用户代理代表 CDM 存储的所有数据，这些数据在 MediaKeys 对象销毁后仍然存在。具体而言，它包括由 CDM 或由用户代理代表 CDM 存储的任何标识符（包括显著标识符）、许可证、密钥、密钥 ID，或许可证销毁记录。

可能以应用或许可证服务器可见的方式影响消息或行为的持久化数据，必须以特定于源和特定于浏览配置文件的方式存储，并且绝不能泄漏到私密浏览会话或从私密浏览会话泄漏。具体而言但不限于此，会话数据、许可证、密钥和每源标识符必须按源以及按浏览配置文件存储。

见会话存储与持久性。

使用持久化数据的实现必须允许用户清除该数据，使其无论是在外部（例如通过本规范定义的 API）还是在客户端设备上都不再可检索。

用户代理应当：

将持久化数据视为其他站点数据，例如 cookie [COOKIES]。具体而言：
- 允许用户将持久化数据与 cookie [COOKIES] 和其他站点数据一起清除。
- 允许用户作为清除浏览历史的用户代理功能的一部分来清除持久化数据。
- 在“移除所有数据”功能中包含持久化数据。
- 在与其他站点数据相同的 UI 位置呈现持久化数据。
允许用户按每个源和每个浏览配置文件清除持久化数据，尤其是作为 “忘记此站点”功能的一部分，该功能会忘记与特定站点相关联的 cookie [COOKIES]、数据库等。
确保清除持久化数据的操作具有足够的原子性，以防止出现 “cookie 复活”类型的情形，即依赖另一种未同时清除的本地存储数据，将新的标识符与旧标识符重新关联。见数据清除不完整。
以帮助用户理解数据清除不完整可能性的方式呈现这些接口，并使他们能够同时删除与所有持久化数据功能相关联的数据，包括 cookie [COOKIES] 和 web storage。
以帮助用户理解数据清除不完整可能性的方式呈现禁用和重新启用密钥系统的接口，并使他们能够同时删除所有持久化存储功能中的所有此类数据。
允许用户按源和/或针对所有源专门删除持久化数据。

用户代理应当将持久化数据视为潜在敏感数据；释放这些信息很可能会损害用户隐私。为此，用户代理应当确保安全存储持久化数据，并且在删除数据时，将其及时从底层存储中删除。

暴露给应用或可由应用推断的值（例如通过 CDM 的使用），可能被用于标识客户端或用户，无论它们是否设计为标识符。本节定义了避免或至少缓解此类问题的要求。对于标识符还有其他要求。

暴露给应用或可由应用推断的所有可区别值必须按每个源和浏览配置文件保持唯一。也就是说，一个源使用本规范定义的 API 时所使用的值，必须不同于任何其他源使用这些 API 时所使用的值；并且一个浏览配置文件中使用的值，必须不同于任何其他配置文件中使用的值，无论源如何。此类值绝不能泄漏到私密浏览会话或从私密浏览会话泄漏。

跨源和跨配置文件的值必须不能被应用关联，这意味着 绝不能能够关联来自多个源或多个配置文件的值，例如用来确定它们来自同一客户端或用户。具体而言，从与源无关和/或与配置文件无关的值派生每源值的实现，必须以确保上述不可关联属性的方式执行，例如使用具有适当不可逆属性的派生函数。

作为允许清除持久化数据中要求的结果，暴露给应用的所有持久化值必须可清除，使这些值无论是在外部（例如通过本规范定义的 API）还是在客户端设备上都不再可检索、可观察或可推断。

一旦被清除，当随后需要这些值时，必须生成新的不能被应用关联的值。

实现使用标识符，尤其是可区别标识符或可区别永久标识符，会带来隐私问题。本节定义了避免或至少缓解此类问题的要求。暴露给应用的值的要求也适用于暴露给应用的标识符。

实现应当避免使用可区别标识符或可区别永久标识符。

注

例如，使用适用于一组客户端或设备的标识符或其他值，而不是适用于单个客户端的值。
实现应当仅在为强制执行与特定 CDM 实例和会话相关的策略所必需时，才使用可区别标识符或可区别永久标识符。

注

例如，"temporary" 和 "persistent-license" 会话可能有不同的要求。
使用可区别标识符或可区别永久标识符的实现应当支持不使用它们的选项。具有此类支持的实现应当向用户暴露选择此选项的能力。

注

在受支持时，应用可以使用 distinctiveIdentifier = "not-allowed" 来选择此模式。选择这样的选项可能影响 requestMediaKeySystemAccess() 调用的结果，和/或从随后生成的会话生成的许可证请求。

向用户提供访问权限来选择此实现能力，可能允许用户在保持更高隐私程度的同时访问内容。

显著标识符和显著永久标识符在暴露到客户端外部时，必须在消息交换层面加密。所有其他标识符在暴露到客户端外部时，应在消息交换层面加密。该加密必须确保标识符密文的任何两个实例只有拥有解密密钥的实体才能关联。

注

标识符可能通过以下方式暴露：

通过 message 事件暴露给应用。
在来自服务器的消息中，例如传递给 update() 的消息。
作为个性化的一部分。

CDM 必须验证加密密钥属于其密钥系统的有效服务器。对于暴露给应用的标识符，这可以使用服务器证书来实现。

服务器不得向发送该显著标识符的 CDM 以外的任何实体暴露该标识符。

注

具体而言，不应将其提供给应用，也不应在发往 CDM 的消息中以未加密形式包含它。这可以通过加密该标识符或使用该标识符加密消息来实现，或者使其只能由该特定的 CDM 解密。

除可区别永久标识符外，所有标识符必须按每个源和浏览配置文件保持唯一。见 8.4.1 使用每源每配置文件值。

实现暴露给应用的所有标识符，包括可区别标识符，即使是以加密形式，必须在跨源、浏览配置文件以及标识符清除后，都不能被应用关联。

作为允许清除持久数据中要求的结果，除显著永久标识符之外，所有潜在标识符或显著值必须是可清除的，使这些值无论是在外部（例如通过本规范中定义的 API），还是在客户端设备上，都不再可检索、可观察或可推断。

使用显著标识符的实现必须允许用户清除显著标识符。使用显著永久标识符的实现必须允许用户清除与显著永久标识符相关联的值。

一旦被清除，当随后需要诸如显著标识符之类的值时，必须生成新的不可由应用关联的值。

标识符，尤其是显著标识符，有时通过称为个性化或配置的过程生成或获得。所得到的标识符必须不可由应用关联，并且对它们的使用必须仅暴露给来自单一配置文件的单一来源。该过程可以执行多次，例如在标识符被清除之后。

该过程必须由用户代理直接执行，或通过应用执行。两种个性化类型的机制、流程和限制不同，如以下各节所述。使用哪种方法取决于 CDM 实现以及本规范要求的应用，尤其是以下要求。

注

distinctiveIdentifier 控制是否可以使用显著标识符和显著永久标识符，包括用于个性化。具体来说，只有当用于创建 MediaKeys 对象的 MediaKeySystemAccess 的 distinctiveIdentifier 成员的值为 "required" 时，才可以使用此类标识符。

直接个性化在 CDM 与一个源无关且应用无关的服务器之间执行。尽管该服务器与源无关，个性化的结果使 CDM 能够按照本规范的其他要求提供特定于源的标识符。该过程必须由用户代理执行，并且不得使用本规范中定义的 API。

注

例如，这样的过程可以通过与由用户代理或 CDM 供应商托管的预定服务器通信，初始化客户端设备和/或为每个源获取一个可清除的标识符，该标识符用于单个浏览配置文件，可能使用显著永久标识符或来自客户端设备的其他永久标识符。

对于此类个性化，所有消息交换：

必须由用户代理处理，并由用户代理通过用户代理的网络栈执行。
不得由 CDM 直接执行。
不得通过本规范中定义的 API 传递给应用或经由应用传递。
必须发送到独立于任何源和应用选择的 URL。
必须加密所有显著标识符和显著永久标识符。
必须使用 TLS。

实现不得暴露源、源或应用特定信息，或与源可关联的值给集中式服务器，即使以加密形式也不行，因为这可能会创建用户或设备访问过的所有源的集中记录。

应用辅助个性化在 CDM 与应用之间执行，包括应用选择的服务器，并产生一个按来源区分的标识符。该过程必须通过本规范中定义的 API 执行，并且不得涉及其他通信方法。与 API 的所有其他使用一样，该过程可以使用一个或多个显著标识符，但它不得使用显著永久标识符或非特定于来源的值，即使以加密形式也不可以。如果该过程使用一个或多个显著标识符，则所得标识符按定义也是一个显著标识符。

对于此类个性化，所有消息交换：

必须通过本规范中定义的 API 传递给应用或经由应用传递。
对于所有相关的 message 事件，必须使用消息类型 "individualization-request"。
不得由用户代理执行。
不得由 CDM 直接执行。
不得包含或以其他方式使用显著永久标识符。
不得包含非特定于来源的每客户端信息
必须遵守标识符要求。

注

这包括仅使用按来源和配置文件唯一且可清除的值，并按要求对它们进行加密。
不得向 CDM 提供可执行代码。

当可关联值（包括显著标识符）在该过程中被使用时，实现不得向集中式服务器暴露来源、来源或应用特定信息，或与来源可关联的值，即使以加密形式也不可以，因为这可能创建一个记录用户或设备访问过的所有来源的中央记录。

在采取适当预防措施的情况下，此类个性化可以提供比直接个性化更好的隐私保护，尽管不如不使用显著标识符的模型。为了保留这种设计的好处，并避免引入其他隐私问题，此类实现以及支持它们的应用应避免将个性化消息延迟或转发到中央服务器或其他不受应用作者控制的服务器。

实现必须在每个 MediaKeySession 对象中支持多个密钥。

注

如何支持多个密钥的机制属于实现细节，但它必须对应用和本规范定义的 API 保持透明。

实现必须支持播放期间在密钥之间无缝切换。这包括同一 MediaKeySession 中的密钥，以及不同 MediaKeySession 对象中的密钥。

实现应当允许使用它们支持的任何初始化数据类型生成的许可证与任何内容类型一起使用。

注

否则，requestMediaKeySystemAccess() 算法可能会，例如，因为某个 initDataTypes 不支持与某个 videoCapabilities 一起使用，而拒绝一个 MediaKeySystemConfiguration。

对于任何可能出现在受支持容器中的、受支持的初始化数据类型，用户代理必须支持从每个此类受支持容器中提取该类型的初始化数据。

注

换言之，表示支持某种初始化数据类型，既意味着 CDM 支持生成许可证请求，也意味着对于容器特定类型，用户代理支持从该容器中提取它。这并不意味着实现必须能够从任何受支持内容类型中解析任何受支持的初始化数据。

本节定义了本规范实现所支持的内容（媒体资源）的属性。

媒体容器绝不能被加密。本规范依赖于用户代理无需解密任何媒体数据即可解析媒体容器的能力。这包括遇到加密块和遇到初始化数据算法，以及支持标准 HTMLMediaElement [HTML] 功能，例如跳转。

媒体资源，包括所有轨道，必须按容器特定的“common encryption”规范加密和打包，该规范允许在提供一个或多个密钥时，以完全指定且兼容的方式解密内容。

注

Encrypted Media Extensions 流格式注册表提供了对此类流格式的引用。

带内支持内容，例如字幕、描述性音频和文字记录，不应被加密。

注

此类轨道的解密——尤其是使其能被提供回用户代理的解密——通常不受实现支持。因此，加密此类轨道会阻止它们在用户代理实现中被广泛用于无障碍功能。

为确保无障碍信息以可用形式提供，对于选择支持加密带内支持内容的实现： a) CDM 必须将解密后的数据提供给用户代理，并且 b) 用户代理必须以与等效未加密支持内容相同的方式处理它，例如将其暴露为定时文本轨道 [HTML]。

用户设备上存在或使用密钥系统会引发若干隐私问题，分为两类：(a) 可能由 EME 接口本身或在密钥系统消息中披露的用户特定信息，以及 (b) 可能持久存储在用户设备上的用户特定信息。

用户代理必须负责为用户提供对其自身隐私的充分控制。由于用户代理可能会与第三方 CDM 实现集成， CDM 实现者必须向用户代理实现者提供足够的信息和控制，以使他们能够实现适当技术，确保用户能控制自己的隐私，包括但不限于下文所述技术。

关于 EME 和密钥系统披露信息的顾虑分为两类：(a) 关于非特定信息的顾虑，尽管这些信息仍可能有助于对用户代理或设备进行指纹识别；以及 (b) 可直接用于用户跟踪的用户特定信息。

恶意应用可能能够通过检测或枚举所支持的密钥系统列表及相关信息，对用户或用户代理进行指纹识别。如果未提供适当的源保护，这可能包括检测已访问的站点以及为这些站点存储的信息。特别是，密钥系统必须不在不同源之间共享密钥或其他数据。

本规范中的若干特性会暴露可能对指纹识别略有贡献的能力信息：

encryptionScheme 成员（属于 MediaKeySystemMediaCapability）会揭示某个密钥系统支持哪些加密方案。此信息主要由该密钥系统本身决定，因此除了应用选择的密钥系统已隐含的信息之外，增加的信息很少。
getStatusForPolicy() 会揭示是否可以强制执行指定的 HDCP 策略。这反映当前连接的显示链能力，并且如果用户重新配置显示器，可能会在会话期间发生变化。

本节为非规范性内容。

CDM，尤其是在用户代理外部实现的 CDM，可能不具有与 Web 平台相同的基本隔离。重要的是应采取措施避免信息泄漏，尤其是跨源泄漏。这包括内存中数据和已存储数据。如果不这样做，可能导致信息泄漏到私密浏览会话或从其中泄漏、跨浏览配置文件（包括跨操作系统用户账户）泄漏，甚至跨不同浏览器或应用泄漏。

为避免此类问题，用户代理和 CDM 实现必须确保：

CDM 具有 CDM 实例的概念，该实例与 MediaKeys 对象一一关联。
密钥、许可证、其他会话数据以及会话的存在都被限制于与创建该会话的 MediaKeys 对象关联的 CDM 实例。
会话数据不会在 MediaKeys 对象或 CDM 实例之间共享。
会话数据不会与未关联到创建该会话的 MediaKeys 对象的媒体元素共享。除其他事项外，这意味着会话的密钥不得用于解密由 mediaKeys 属性不是该 MediaKeys 对象的媒体元素加载的内容。
MediaKeys 对象及其底层实现不会向源外暴露信息。
如果适用，持久化的会话数据按每个源存储。
只能加载由请求源存储的数据。
无法从 CDM 中提取、派生或推断出本规范中未明确描述，且未经用户许可也无法通过其他 Web 平台 API 提供给页面的信息。这适用于暴露到客户端设备外部或暴露给应用的任何信息，包括例如 CDM 消息中的信息。
注
此要求涵盖的信息类型包括但不限于：
- 位置，包括地理位置
- 除显著标识符以外的凭据或标识符
- OS 账户名和其他潜在 PII
- 本地目录路径，其中可能包含类似信息。
- 本地网络详细信息（例如，设备的本地 IP 地址）
- 本地设备，包括但不限于 Bluetooth、USB 和用户媒体。
- 不与本规范中定义的 API 相关联，也不是因其而存储的用户状态。

本节为非规范性内容。

第三方宿主（或任何能够将内容分发到多个站点的实体，例如广告商）可以使用由 CDM 存储或代表其存储的显著标识符或持久化数据（包括许可证、密钥、密钥 ID，或许可证销毁记录），跨多个会话（包括跨源和浏览配置文件）跟踪用户，构建用户活动或兴趣的画像。此类跟踪会削弱 Web 平台其余部分提供的隐私保护，并且例如可能实现原本不可能的高度定向广告。如果结合一个知道用户真实身份的站点（例如需要已认证凭据的内容提供商或电子商务站点），这可能使压迫性团体能够比在纯匿名 Web 使用的世界中更准确地锁定个人。

可通过本规范中 API 的实现获得的用户或客户端特定信息包括：

显著标识符
显著永久标识符
访问过的源（通过已存储或内存中的数据、权限等）
查看过的内容（通过已存储或内存中的许可证、密钥、密钥 ID、许可证销毁记录等）

本规范提出了一个特定的关注点，因为此类信息通常存储在用户代理（以及关联的浏览配置文件存储）之外，通常在 CDM 中。

由于许可证和许可证销毁记录的内容是密钥系统特定的，并且由于密钥 ID 可以包含任何值，这些数据项可能被滥用来存储可识别用户的信息。

密钥系统可以访问或创建针对设备或设备用户的持久化或半持久化标识符。在某些情况下，这些标识符可能以安全方式绑定到特定设备。如果这些标识符出现在密钥系统消息中，则设备和/或用户可能被跟踪。如果未应用下述缓解措施，这可能包括随时间跟踪用户/设备，以及关联给定设备的多个用户。

需要注意的是，此类标识符，尤其是那些不可清除、非源特定的，或永久标识符，其跟踪影响超过现有技术，例如 cookies [COOKIES] 或嵌入 URL 中的会话标识符。

如果未加以缓解，此类跟踪可能会根据密钥系统的设计采取三种形式：

在所有情况下，预计此类标识符可供完全支持密钥系统的站点和/或服务器使用（因此能够解释密钥系统消息），从而使此类站点能够跟踪。
如果由密钥系统暴露的标识符不是源特定的，则两个完全支持该密钥系统的站点和/或服务器可以串通来跟踪用户。
如果密钥系统消息以一致的方式包含从用户标识符派生的信息，例如特定内容项的初始密钥系统消息中的某一部分不会随时间变化且依赖于用户标识符，则任何应用都可以使用该信息来随时间跟踪设备或用户。

此外，如果密钥系统允许密钥或其他数据被存储并在源之间重用，则两个源可能能够串通，通过记录它们访问同一密钥的能力来跟踪唯一用户。

最后，如果任何用于用户控制密钥系统的用户界面将数据与 HTTP 会话 cookies [COOKIES] 或持久化存储中的数据分开呈现，则用户很可能会修改其中一种的站点授权或删除其中一种的数据，而不修改其他数据。这会允许站点将这些不同功能用作彼此的冗余备份，从而挫败用户保护其隐私的尝试。

除了站点和其他第三方可能跟踪用户之外，用户代理实现者、CDM 供应商或设备供应商也可以构建用户活动或兴趣的画像，例如用户访问的使用本规范中定义的 API 的站点。此类跟踪会削弱 Web 平台其余部分提供的隐私保护，尤其是与源隔离相关的保护。

标识符，例如显著标识符，可以从由 CDM 供应商运营或提供的服务器获得，例如通过个性化过程。该过程可能包括向服务器提供客户端标识符，包括显著永久标识符。为了生成每源标识符，也可能提供一个表示该源的值。

在这样的实现中，CDM 供应商可能能够跟踪用户的活动，例如访问过的源数量或需要新标识符的次数。如果在标识符请求中提供了源，或提供了与源可关联的值，则 CDM 供应商可以跟踪用户或设备用户访问过的站点。

以下章节描述了可在未经用户同意的跟踪风险方面进行缓解的技术。

不要使用显著标识符或显著永久标识符

密钥系统实现应尽可能避免使用显著标识符和显著永久标识符，并且只有在它们能够有意义地提高实现的健壮性时才使用它们。参见限制或避免使用显著标识符和永久标识符。

不要将显著永久标识符暴露给应用

实现不得将显著永久标识符暴露给应用或来源。

加密显著标识符

显著标识符在密钥系统消息中必须被加密，并附带时间戳或随机数，使密钥系统消息始终不同。这会防止使用密钥系统消息进行跟踪，除非由完全支持该密钥系统的服务器进行。参见加密标识符。

像 cookie / Web Storage 一样对待显著标识符和密钥系统存储的数据

用户代理应以一种将显著标识符和密钥系统存储的数据与 HTTP 会话 cookie [COOKIES] 强关联的方式呈现给用户，包括将其纳入“移除所有数据”，并在相同的 UI 位置呈现它。这可能会鼓励用户以合理的怀疑态度看待此类标识符。用户代理应帮助用户避免数据清除不完整。

不要向无关实体暴露按来源的信息

不要向个性化服务器或其他与该来源无关的实体提供来源或与来源可关联的值。如果实现使用了这样的过程，请遵循个性化一节中的要求和建议。

使用不可关联的按来源、按配置文件的值和标识符

对于暴露给应用的所有显著值，实现必须为每个来源和浏览配置文件使用不同的不可由应用关联的值。参见8.4.1 使用按来源、按配置文件的值。

这对于使用显著标识符的实现尤其重要。参见 8.5.3 使用按来源、按配置文件的标识符。

使用特定于来源和特定于浏览配置文件的密钥系统存储

CDM 使用的任何数据，如果可能以应用或许可证服务器可见的方式影响消息或行为，则必须按来源和浏览配置文件进行分区，并且不得泄漏到私密浏览会话或从私密浏览会话泄漏。这包括内存中数据和持久化数据。具体但非穷尽地说，会话数据、许可证、密钥和按来源的标识符必须按来源和按浏览配置文件进行分区。参见8.3.1 使用特定于来源和特定于浏览配置文件的密钥系统存储和8.4.1 使用按来源、按配置文件的值。

提供用户删除持久数据的能力，包括显著标识符

用户代理必须为用户提供清除由密钥系统维护的任何持久数据（包括显著标识符）的能力。参见允许清除持久数据。

使存储的数据过期

用户代理可以在一段时间后自动删除显著标识符和/或其他密钥系统数据，并且这种方式可以由用户配置。

注

例如，用户代理可以被配置为将此类数据作为仅会话存储，在用户关闭所有可以访问它的浏览上下文后删除这些数据。

这可以限制站点跟踪用户的能力，因为此时该站点只有在用户向该站点本身进行身份验证时（例如购买或登录服务），才能跨多个会话跟踪该用户。

然而，如果用户并未充分理解此类过期的影响，这也可能使用户对内容的访问，尤其是已购买或租赁内容的访问，面临风险。

阻止第三方访问

用户代理可以将对密钥系统和/或特性的访问限制为源自浏览上下文的顶级Document的来源的脚本。例如，requestMediaKeySystemAccess() 可以拒绝来自在 iframe 中运行的其他来源页面对某些配置的请求。

充分告知用户和/或要求明确的用户同意

用户代理必须确保用户在使用显著标识符或显著永久标识符之前充分知情和/或给出明确同意。

此类机制必须按来源设置，以避免有效使用导致后续恶意访问，并且必须按浏览配置文件设置。

注

将本规范中定义的 API 限制为安全上下文，可以确保网络攻击者无法利用授予未经身份验证来源的权限。参见持久化同意的滥用。

提供用户控件，用于禁用密钥系统或密钥系统对标识符的使用

用户代理应为用户提供一个全局控制项，用于控制某个密钥系统是否启用，和/或密钥系统对显著标识符或显著永久标识符的使用是否启用（如果密钥系统支持）。用户代理应帮助用户避免数据清除不完整。

要求对每个密钥系统的访问进行特定于站点的白名单授权

用户代理可以要求用户在站点能够使用每个密钥系统和/或某些特性之前，明确授权访问它。用户代理应允许用户临时或永久撤销此授权。

使用共享黑名单

用户代理可以允许用户共享来源和/或密钥系统的黑名单。这将允许社区共同保护其隐私。

注

虽然这些建议阻止了本规范中定义的 API 被轻易用于用户跟踪，但它们并不能完全阻止这种情况。在单个来源内，站点可以在会话期间继续跟踪用户，然后可以将所有这些信息连同该站点获得的任何识别信息（姓名、信用卡号、地址）一起传递给第三方。如果第三方与多个站点合作以获取此类信息，并且标识符不是按来源和配置文件唯一，则仍然可以创建画像。

本节为非规范性内容。

密钥系统可能会在用户设备上存储信息，或者用户代理可能会代表密钥系统存储信息。这可能向同一设备的另一个用户揭示某个用户的信息，包括可能曾使用特定源的密钥系统（即访问过的站点），甚至是使用某个密钥系统解密过的内容。

如果一个源存储的信息影响另一个源的密钥系统运行，则一个用户在某个站点上访问过的站点或观看过的内容，可能会被泄露给另一个可能恶意的站点。

如果客户端设备上为一个浏览配置文件存储的信息影响其他浏览配置文件或浏览器的密钥系统运行，则一个配置文件中访问过的站点或观看过的内容，可能被另一个浏览配置文件泄露或与其相关联，甚至包括不同操作系统用户账户或浏览器。

缓解这些顾虑的要求定义在8.3 持久化数据中。

本节为非规范性内容。

如果在清除显著标识符和已存储数据和/或禁用密钥系统时，未同时清除和/或禁用所有此类数据和功能，以及 cookie [COOKIES] 和其他站点数据，则用户保护其隐私的尝试可能会失败。例如：

如果用户清除 cookie 或其他持久存储，而没有同时清除显著标识符和密钥系统存储的数据，站点就可以通过将各种特性彼此作为冗余备份来挫败这些尝试。
如果用户清除显著标识符，而没有同时清除密钥系统存储的数据（包括持久会话），以及 cookie 和其他持久存储，站点就可以通过使用剩余数据将旧标识符和新标识符关联起来，从而挫败这些尝试。
如果用户禁用密钥系统，尤其是针对某个特定来源，而没有同时清除 cookie 或其他持久存储，站点就可以通过使用剩余特性来挫败这些尝试。
如果用户禁用密钥系统，之后又决定启用该密钥系统，而没有同时清除 cookie 或其他持久存储、显著标识符，以及密钥系统存储的数据，则站点可能能够将禁用之前的数据与该密钥系统重新启用之后的数据和行为关联起来。

缓解这些顾虑的建议定义在8.3 持久化数据中。

用户代理可以支持一种旨在保护用户匿名性和/或确保浏览活动记录不会持久化到客户端的操作模式（例如私密浏览）。前几节讨论的隐私顾虑对使用此类模式的用户而言可能尤其令人担忧。

支持此类模式的用户代理实现者应当仔细考虑是否应在这些模式中禁用对密钥系统的访问。例如，此类模式可以禁止创建支持或使用 MediaKeySystemAccess 对象，这些对象支持或使用 persistentState 或 distinctiveIdentifier （无论是作为 CDM 实现的一部分，还是因为应用指明它们为 "required"）。如果实现不禁止此类创建，则它们应当在允许使用之前，告知用户此类模式的预期隐私属性所面临的影响和潜在后果。

本规范中定义的 API 仅在安全源上受支持，从而保护前几节讨论的信息。标识符还会按加密标识符中的规定进行加密。

应用，包括它们使用的服务器，应当对所有涉及或包含来自 CDM 的数据或消息的流量使用安全传输，包括但不限于从 message 事件传递的所有数据以及传递给 update() 的所有数据。

所有用户代理必须正确处理混合内容 [MIXED-CONTENT]，以在用户代理或应用希望强制安全源和传输时避免暴露于不安全内容或传输。

加密媒体扩展

摘要

本文档的状态

1. 引言

2. 定义

3. 获取对密钥系统的访问

3.1 Permissions Policy 集成

3.2 Navigator 扩展： requestMediaKeySystemAccess()

3.2.1 方法

3.2.2 算法

3.2.2.1 获取支持的配置

3.2.2.2 获取支持的配置和同意

3.2.2.3 获取音频/视频类型支持能力

3.2.2.4 获取 同意状态

3.3 MediaKeySystemConfiguration 字典

3.4 MediaKeySystemMediaCapability 字典

3.4.1 字典 MediaKeySystemMediaCapability 成员

4. MediaKeySystemAccess 接口

4.1 属性

4.2 方法

5. MediaKeys 接口

5.1 方法

5.2 算法

5.2.1 是持久会话类型吗？

5.2.2 CDM 不可用

5.3 存储与持久性

6. MediaKeySession 接口

6.1 属性

6.2 方法

6.3 MediaKeyStatusMap 接口

6.3.1 属性

6.3.2 方法

6.4 MediaKeyMessageEvent

6.4.1 属性

6.4.2 MediaKeyMessageEventInit

6.4.2.1 字典 MediaKeyMessageEventInit 成员

6.5 事件概要

6.6 算法

6.6.1 排队一个 "message" 事件

6.6.2 更新 密钥状态

6.6.3 更新 到期时间

6.6.4 会话 已关闭

6.6.5 监视 CDM 状态变化

6.7 异常

6.8 会话存储与持久性

7. HTMLMediaElement 扩展

7.1 属性

7.2 方法

7.3 MediaEncryptedEvent 接口

7.3.1 属性

7.3.2 MediaEncryptedEventInit

7.3.2.1 字典 MediaEncryptedEventInit 成员

7.4 事件概要

7.5 算法

7.5.1 媒体数据可能包含加密块

7.5.2 遇到初始化数据

7.5.3 遇到加密块

7.5.4 尝试 解密

7.5.5 等待 密钥

7.5.6 必要时尝试恢复播放

7.6 媒体元素限制

8. 实现要求

8.1 CDM 约束

8.2 消息与通信

8.3 持久化数据

8.3.1 使用特定于源和特定于浏览配置文件的密钥系统 存储

8.3.2 允许清除持久化数据

8.3.3 加密或混淆持久化数据

8.4 暴露给应用的值

8.4.1 使用每源每配置文件值

8.4.2 允许清除值

8.5 标识符

8.5.1 限制或避免使用可区别标识符和永久标识符

8.5.2 加密标识符

8.5.3 使用每源每配置文件标识符

8.5.4 使用不可关联标识符

8.5.5 允许清除标识符

8.6 个体化

8.6.1 直接个体化

8.6.2 应用辅助个体化

3.2 `Navigator` 扩展： `requestMediaKeySystemAccess()`

3.2.2.4 获取同意状态

3.3 `MediaKeySystemConfiguration` 字典

3.4 `MediaKeySystemMediaCapability` 字典

3.4.1 字典 `MediaKeySystemMediaCapability` 成员

4. `MediaKeySystemAccess` 接口

5. `MediaKeys` 接口

6. `MediaKeySession` 接口

6.3 `MediaKeyStatusMap` 接口

6.4 `MediaKeyMessageEvent`

6.4.2 `MediaKeyMessageEventInit`

6.4.2.1 字典 `MediaKeyMessageEventInit` 成员

6.6.2 更新密钥状态

6.6.3 更新到期时间

6.6.4 会话已关闭

7. `HTMLMediaElement` 扩展

7.3 `MediaEncryptedEvent` 接口

7.3.2 `MediaEncryptedEventInit`

7.3.2.1 字典 `MediaEncryptedEventInit` 成员

7.5.4 尝试解密

7.5.5 等待密钥

8.3.1 使用特定于源和特定于浏览配置文件的密钥系统存储

9. 公共密钥系统

10.4 `iframe` 攻击