אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה לתוספים של צד שלישי שצריך למלא.

הגבלות מקור

מקור הוא כתובת URL עם סכימה (פרוטוקול), מארח (דומיין) ויציאה. שתי כתובות URL יש את אותו המקור אם הם חולקים את אותה סכימה, מארח ויציאה. מותר להשתמש במקורות משנה. מידע נוסף זמין ב-RFC 6454.

המשאבים האלה חולקים את אותו מקור כי יש להם את אותה סכימה, מארח רכיבי היציאה:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

המגבלות הבאות נאכפות כשעובדים עם מקורות:

1. כל המקורות המשמשים בפעולה של התוסף חייב להשתמש ב-https כפרוטוקול.

2. השדה addOnOrigins בתוסף מניפסט חייב להיות מאוכלסים במקורות של התוסף באמצעות.

   הערכים בשדה addOnOrigins חייבים להיות רשימה של מארח CSP מקור תואמים. לדוגמה https://*.addon.example.com או https://main-stage-addon.example.com:443. משאב נתיבים אסורים.

   הרשימה הזו משמשת לדברים הבאים:

   • מגדירים את frame-src של מסגרות ה-iframe שכוללות את האפליקציה.

   • מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שמשמש בלוקאלים הבאים חייב להיות חלק מהמקורות מצוין בשדה addOnOrigins במניפסט:

     • השדה sidePanelUri בתוסף . מידע נוסף זמין במאמר הבא: איך יוצרים תוסף ל-Meet

     • sidePanelUrl וגם mainStageUrl AddonScreenshareInfo לאובייקט. מידע נוסף זמין במאמר הבא: קידום תוסף למשתמשים באמצעות שיתוף המסך.

     • sidePanelUrl וגם mainStageUrl CollaborationStartingState. מידע נוסף מופיע במאמר בנושא שימוש במצב ההתחלה של שיתוף הפעולה.

   • אימות המקור של האתר ששולח את הקריאה MeetAddonScreenshare.exposeToMeetWhenScreensharing .

3. אם האפליקציה שלכם משתמשת בניווט בכתובות URL בתוך ה-iframe, כל המקורות שמנווטים אליהם חייבים להופיע בשדה addOnOrigins. שימו לב מותר להשתמש בתת-דומיינים עם תווים כלליים לחיפוש. לדוגמה, https://*.example.com. עם זאת, מומלץ מאוד לא להשתמש בתו כללי לחיפוש תת-דומיינים עם דומיין שאינו בבעלותך, כמו web.app שנמצא בבעלות Firebase.