En esta página, se detallan los requisitos de seguridad que deben cumplir los complementos de terceros.
Restricciones de origen
Un origen es una URL con un esquema (protocolo), un host (dominio) y un puerto. Dos URLs tienen el mismo origen cuando comparten el mismo esquema, host y puerto. Se permiten suborígenes. Para obtener más información, consulta RFC 6454.
Estos recursos comparten el mismo origen, ya que tienen los mismos componentes de esquema, host y puerto:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Se aplican las siguientes restricciones cuando se trabaja con orígenes:
Todos los orígenes que se usen en la operación de tu complemento deben usar
https
como protocolo.El campo
addOnOrigins
en el manifiesto del complemento se debe propagar con los orígenes que usa el complemento.Las entradas del campo
addOnOrigins
deben ser una lista de valores compatibles con la fuente del host del CSP. Por ejemplo,https://*.addon.example.com
ohttps://main-stage-addon.example.com:443
. No se permiten las rutas de acceso a los recursos.Esta lista se usa para lo siguiente:
Establece el valor de
frame-src
de los iframes que contienen tu aplicación.Valida las URLs que usa tu complemento. El origen que se usa en las siguientes configuraciones regionales debe ser parte de los orígenes que se enumeran en el campo
addOnOrigins
del manifiesto:El campo
sidePanelUri
en el manifiesto del complemento Para obtener más información, consulta Cómo implementar un complemento de Meet.Las propiedades
sidePanelUrl
ymainStageUrl
en el objetoAddonScreenshareInfo
Para obtener más información, consulta Cómo promocionar un complemento a los usuarios a través del uso compartido de pantalla.Las propiedades
sidePanelUrl
ymainStageUrl
enActivityStartingState
Para obtener más información sobre el estado de inicio de la actividad, consulta Cómo colaborar con un complemento de Meet.
Valida el origen del sitio que llama al método
exposeToMeetWhenScreensharing()
.
Si tu aplicación usa la navegación de URL dentro del iframe, todos los orígenes a los que se navega deben aparecer en el campo
addOnOrigins
. Ten en cuenta que se permiten subdominios con comodines. Por ejemplo,https://*.example.com
Sin embargo, te recomendamos que no uses subdominios con comodines con un dominio que no te pertenezca, comoweb.app
, que es propiedad de Firebase.