Cette page a été traduite par l'API Cloud Translation.

Sécurité complémentaire

Cette page détaille les exigences de sécurité pour les modules complémentaires tiers à remplir.

Restrictions relatives à l'origine

Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'ils partagent le même schéma, l'hôte et le même port. Les sous-origines sont autorisées. Pour plus d'informations, consultez le document RFC 6454.

Ces ressources partagent la même origine, car elles ont le même schéma, l'hôte et les composants de port:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Les contraintes suivantes sont appliquées lorsque vous utilisez des origines:

Toutes les origines utilisées pour le fonctionnement de votre module complémentaire doit utiliser le protocole https.
Le champ addOnOrigins du module complémentaire le fichier manifeste doit être renseigné avec les origines de votre module complémentaire. utilisent.

Les entrées dans le champ addOnOrigins doivent être une liste d'hôtes CSP source des valeurs compatibles. Par exemple, https://*.addon.example.com ou https://main-stage-addon.example.com:443 Ressource chemins ne sont pas autorisés.

Cette liste sert à:
- Définissez le paramètre frame-src des iFrames contenant votre application.
- Validez les URL utilisées par votre module complémentaire. L'origine utilisée dans les paramètres régionaux suivants doit en faire partie indiquée dans le champ addOnOrigins du fichier manifeste:
  - Le champ sidePanelUri du module complémentaire fichier manifeste. Pour en savoir plus, consultez Créer un module complémentaire Meet
  - Les éléments sidePanelUrl et mainStageUrl de la section AddonScreenshareInfo . Pour en savoir plus, consultez Promouvoir un module complémentaire auprès des utilisateurs grâce au partage d'écran
  - Les éléments sidePanelUrl et mainStageUrl de la section CollaborationStartingState Pour en savoir plus, consultez Utiliser l'état de départ de la collaboration.
- Validez l'origine du site qui appelle la méthode MeetAddonScreenshare.exposeToMeetWhenScreensharing .
Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines auxquelles on accède doivent être répertoriés dans le champ addOnOrigins. Notez que les sous-domaines utilisant des caractères génériques sont autorisés. Exemple : https://*.example.com. Toutefois, il est fortement déconseillé d'utiliser des caractères génériques des sous-domaines associés à un domaine dont vous n'êtes pas le propriétaire, comme web.app, qui appartient à Firebase