Halaman ini diterjemahkan oleh Cloud Translation API.

Keamanan add-on

Halaman ini menjelaskan persyaratan keamanan yang harus dipenuhi add-on pihak ketiga.

Batasan asal

Origin adalah URL dengan skema (protokol), host (domain), dan port. Dua URL memiliki origin yang sama jika memiliki skema, host, dan port yang sama. Sub-asal diizinkan. Untuk mengetahui informasi selengkapnya, lihat RFC 6454.

Resource ini memiliki origin yang sama karena memiliki komponen skema, host, dan port yang sama:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Batasan berikut diterapkan saat menangani origin:

Semua asal yang digunakan dalam operasi add-on Anda harus menggunakan https sebagai protokol.
Kolom addOnOrigins di manifes add-on harus diisi dengan origin yang digunakan add-on Anda.

Entri di kolom addOnOrigins harus berupa daftar nilai yang kompatibel dengan sumber host CSP. Misalnya https://*.addon.example.com atau https://main-stage-addon.example.com:443. Jalur resource tidak diizinkan.

Daftar ini digunakan untuk:
- Tetapkan nilai frame-src iframe yang berisi aplikasi Anda.
- Validasi URL yang digunakan add-on Anda. Origin yang digunakan dalam lokalitas berikut harus merupakan bagian dari origin yang tercantum di kolom addOnOrigins dalam manifes:
  - Kolom sidePanelUri dalam manifes add-on. Untuk informasi selengkapnya, lihat Men-deploy add-on Meet.
  - Properti sidePanelUrl dan mainStageUrl dalam objek AddonScreenshareInfo. Untuk mengetahui informasi selengkapnya, lihat Mempromosikan add-on kepada pengguna melalui berbagi layar.
  - Properti sidePanelUrl dan mainStageUrl di ActivityStartingState. Untuk mengetahui informasi selengkapnya tentang status awal aktivitas, lihat Berkolaborasi menggunakan add-on Meet.
- Validasi asal situs yang memanggil metode exposeToMeetWhenScreensharing().
Jika aplikasi Anda menggunakan navigasi URL di dalam iframe, semua origin yang dituju harus dicantumkan di kolom addOnOrigins. Perhatikan bahwa subdomain karakter pengganti diizinkan. Misalnya, https://*.example.com. Namun, sebaiknya jangan gunakan subdomain karakter pengganti dengan domain yang tidak Anda miliki, seperti web.app yang dimiliki oleh Firebase.