插件安全性

本页详细介绍了第三方插件的安全要求 满足的事项。

来源限制

源是一个包含架构(协议)、主机(域名)和端口的网址。两个网址 当它们共用相同的架构、主机和端口时,它们的源也相同。 允许包含子来源。有关详情,请参阅 RFC 6454

这些资源具有相同的来源,因为它们具有相同的架构、主机和 端口组件:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

使用源站时,系统会强制执行以下限制条件:

  1. 操作中使用的所有源站 您的插件必须使用 https 作为协议。

  2. 插件中的 addOnOrigins 字段 清单必须为 填充的是插件所在的源 使用。

    addOnOrigins 字段中的条目必须是 CSP 主机列表 来源 兼容的值。例如 https://*.addon.example.comhttps://main-stage-addon.example.com:443资源 路径 不允许。

    此列表用于:

  3. 如果您的应用在 iframe 内使用网址导航, 必须列在 addOnOrigins 字段中。请注意, 通配符子网域。例如 https://*.example.com。不过,我们强烈建议您不要使用通配符 带有不归您所有域名的子域名,例如 web.app Firebase。