插件安全性

本页详细介绍了第三方插件必须满足的安全要求。

来源限制

来源是包含架构(协议)、主机(域名)和端口的网址。如果两个网址具有相同的架构、主机和端口,则具有相同的来源。允许使用子来源。如需了解详情,请参阅 RFC 6454

这些资源具有相同的架构、主机和端口组件,因此具有相同的来源:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

使用来源时,系统会强制执行以下约束条件:

  1. 在运行您的插件时使用的所有来源都必须使用 https 作为协议。

  2. 必须使用您的插件使用的来源填充插件清单中的 addOnOrigins 字段。

    addOnOrigins 字段中的条目必须是 CSP 主机来源兼容值的列表。例如 https://*.addon.example.comhttps://main-stage-addon.example.com:443。不允许使用资源路径

    此列表用于:

  3. 如果您的应用在 iframe 中使用网址导航,则必须在 addOnOrigins 字段中列出要导航到的所有来源。请注意,通配符子网域是允许的。例如 https://*.example.com。不过,我们强烈建议您不要将通配符子网域与您不拥有的网域(例如 Firebase 拥有的 web.app)搭配使用。