Keamanan add-on

Halaman ini menjelaskan persyaratan keamanan yang harus dipenuhi add-on pihak ketiga.

Batasan asal

Origin adalah URL dengan skema (protokol), host (domain), dan port. Dua URL memiliki origin yang sama jika memiliki skema, host, dan port yang sama. Sub-asal diizinkan. Untuk mengetahui informasi selengkapnya, lihat RFC 6454.

Resource ini memiliki origin yang sama karena memiliki komponen skema, host, dan port yang sama:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Batasan berikut diterapkan saat menangani origin:

  1. Semua asal yang digunakan dalam operasi add-on Anda harus menggunakan https sebagai protokol.

  2. Kolom addOnOrigins di manifes add-on harus diisi dengan origin yang digunakan add-on Anda.

    Entri di kolom addOnOrigins harus berupa daftar nilai yang kompatibel dengan sumber host CSP. Misalnya https://*.addon.example.com atau https://main-stage-addon.example.com:443. Jalur resource tidak diizinkan.

    Daftar ini digunakan untuk:

  3. Jika aplikasi Anda menggunakan navigasi URL di dalam iframe, semua origin yang dituju harus dicantumkan di kolom addOnOrigins. Perhatikan bahwa subdomain karakter pengganti diizinkan. Misalnya, https://*.example.com. Namun, sebaiknya jangan gunakan subdomain karakter pengganti dengan domain yang tidak Anda miliki, seperti web.app yang dimiliki oleh Firebase.