本页详细介绍了第三方插件的安全要求 满足的事项。
来源限制
源是一个包含架构(协议)、主机(域名)和端口的网址。两个网址 当它们共用相同的架构、主机和端口时,它们的源也相同。 允许包含子来源。有关详情,请参阅 RFC 6454。
这些资源具有相同的来源,因为它们具有相同的架构、主机和 端口组件:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
使用源站时,系统会强制执行以下限制条件:
操作中使用的所有源站 您的插件必须使用
https作为协议。插件中的
addOnOrigins字段 清单必须为 填充的是插件所在的源 使用。addOnOrigins字段中的条目必须是 CSP 主机列表 来源 兼容的值。例如https://*.addon.example.com或https://main-stage-addon.example.com:443.资源 路径 不允许。此列表用于:
将
frame-src包含您应用的 iframe 的值。验证您的插件当前使用的网址。 以下语言区域中使用的来源必须是这些来源的一部分 (在清单的
addOnOrigins字段中列出):插件中的
sidePanelUri字段 清单。如需了解详情,请参阅 构建 Meet 插件。sidePanelUrl和mainStageUrl中的AddonScreenshareInfo对象。如需了解详情,请参阅 通过屏幕共享向用户推广插件。sidePanelUrl和mainStageUrl中的CollaborationStartingState。 有关详情,请参阅使用协作开始状态。
如果您的应用在 iframe 内使用网址导航, 必须列在
addOnOrigins字段中。请注意, 通配符子网域。例如https://*.example.com。不过,我们强烈建议您不要使用通配符 带有不归您所有域名的子网域,例如归您所有的域名web.appFirebase。