Seguridad complementaria

En esta página, se detallan los requisitos de seguridad que deben cumplir los complementos de terceros.

Restricciones de origen

Un origen es una URL con un esquema (protocolo), un host (dominio) y un puerto. Dos URLs tienen el mismo origen cuando comparten el mismo esquema, host y puerto. Se permiten suborígenes. Para obtener más información, consulta RFC 6454.

Estos recursos comparten el mismo origen, ya que tienen los mismos componentes de esquema, host y puerto:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Se aplican las siguientes restricciones cuando se trabaja con orígenes:

  1. Todos los orígenes que se usen en la operación de tu complemento deben usar https como protocolo.

  2. El campo addOnOrigins en el manifiesto del complemento se debe propagar con los orígenes que usa el complemento.

    Las entradas del campo addOnOrigins deben ser una lista de valores compatibles con la fuente del host del CSP. Por ejemplo, https://*.addon.example.com o https://main-stage-addon.example.com:443. No se permiten las rutas de acceso a los recursos.

    Esta lista se usa para lo siguiente:

  3. Si tu aplicación usa la navegación de URL dentro del iframe, todos los orígenes a los que se navega deben aparecer en el campo addOnOrigins. Ten en cuenta que se permiten subdominios con comodines. Por ejemplo, https://*.example.com Sin embargo, te recomendamos que no uses subdominios con comodines con un dominio que no te pertenezca, como web.app, que es propiedad de Firebase.