בדף הזה מפורטות דרישות האבטחה שתוספים של צד שלישי צריכים למלא.
הגבלות מקור
מקור הוא כתובת URL עם סכימה (פרוטוקול), מארח (דומיין) ויציאה. לשתי כתובות URL יש מקור זהה אם הן חולקות את אותה סכימה, אותו מארח ויציאה. ניתן להעלות מקורות משנה. למידע נוסף, קראו את המאמר RFC 6454.
למשאבים האלה יש את אותו מקור, שיש להם את אותה סכימה, מארח ורכיבי יציאה:
https://example.com
https://example.com:80
https://*.example.com
המגבלות הבאות נאכפות בעבודה עם מקורות:
כל המקורות שמשמשים להפעלת התוסף חייבים להשתמש ב-
https
כפרוטוקול.השדה
addOnOrigins
במניפסט של התוסף חייב להיות מאוכלס עם המקורות שבהם התוסף משתמש.הרשומות בשדה
addOnOrigins
חייבות להיות רשימה של ערכים תואמים במקור המארח ב-CSP. לדוגמהhttps://*.addon.example.com
אוhttps://main-stage-addon.example.com:443
.הרשימה הזאת משמשת לדברים הבאים:
מגדירים את הערך
frame-src
של ה-iframes שמכילים את האפליקציה.מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שנעשה בו שימוש בלוקאלים הבאים חייב להיות חלק מהמקורות שרשומים בשדה
addOnOrigins
במניפסט:השדה
sidePanelUri
במניפסט של התוסף. תוכלו לקרוא מידע נוסף במאמר איך יוצרים תוסף ל-Meet.sidePanelUrl
ו-mainStageUrl
באובייקטAddonScreenshareInfo
. מידע נוסף זמין במאמר קידום תוסף למשתמשים באמצעות שיתוף המסך.sidePanelUrl
ו-mainStageUrl
ב-CollaborationStartingState
. מידע נוסף זמין במאמר שימוש במצב ההתחלה של שיתוף הפעולה.
מאמתים את מקור האתר שמבצע קריאה לשיטה
MeetAddonScreenshare.exposeToMeetWhenScreensharing
.
אם באפליקציה נעשה שימוש בניווט בכתובות URL בתוך ה-iframe, כל המקורות שאליהם מנווטים חייבים להיות רשומים בשדה
addOnOrigins
.