本页详细介绍了第三方插件必须满足的安全要求。
来源限制
来源是指包含架构(协议)、主机(网域)和端口的网址。如果两个网址共用相同的架构、主机和端口,则它们的来源相同。允许使用子源。如需了解详情,请参阅 RFC 6454。
这些资源的来源相同,因为它们具有相同的架构、主机和端口组件:
https://example.com
https://example.com:80
https://*.example.com
使用源站时,系统会强制执行以下限制条件:
插件操作中使用的所有来源都必须使用
https
作为协议。插件清单中的
addOnOrigins
字段必须使用您的插件所使用的来源填充。addOnOrigins
字段中的条目必须是 CSP 主机来源兼容值的列表。例如https://*.addon.example.com
或https://main-stage-addon.example.com:443
。此列表用于:
为包含应用的 iframe 设置
frame-src
值。验证您的插件使用的网址。 以下语言区域中使用的来源必须是清单的
addOnOrigins
字段中列出的来源的一部分:插件清单中的
sidePanelUri
字段。如需了解详情,请参阅构建 Meet 插件。AddonScreenshareInfo
对象中的sidePanelUrl
和mainStageUrl
。如需了解详情,请参阅通过屏幕共享向用户推广插件。CollaborationStartingState
中的sidePanelUrl
和mainStageUrl
。如需了解详情,请参阅使用协作开始状态。
验证调用
MeetAddonScreenshare.exposeToMeetWhenScreensharing
方法的网站的来源。
如果您的应用在 iframe 内使用网址导航,则必须在
addOnOrigins
字段中列出要导航到的所有源站。