การรักษาความปลอดภัยเสริม

หน้านี้จะแสดงรายละเอียดข้อกำหนดด้านความปลอดภัยที่ส่วนเสริมของบุคคลที่สามต้องปฏิบัติตาม

ข้อจำกัดด้านต้นทาง

ต้นทางคือ URL ที่มีรูปแบบ (โปรโตคอล) โฮสต์ (โดเมน) และพอร์ต URL 2 รายการจะมีต้นทางเดียวกันเมื่อใช้รูปแบบ โฮสต์ และพอร์ตเดียวกัน อนุญาตให้ใช้ต้นทางย่อย ดูข้อมูลเพิ่มเติมได้ที่ RFC 6454

ทรัพยากรเหล่านี้มีต้นทางเดียวกันเนื่องจากมีคอมโพเนนต์รูปแบบ โฮสต์ และพอร์ตเหมือนกัน

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

ระบบจะบังคับใช้ข้อจำกัดต่อไปนี้เมื่อทำงานกับต้นทาง

  1. ต้นทางทั้งหมดที่ใช้ในการดำเนินการของส่วนเสริมต้องใช้ https เป็นโปรโตคอล

  2. ช่อง addOnOrigins ในไฟล์ Manifest ของส่วนเสริมต้องป้อนข้อมูลแหล่งที่มาที่ส่วนเสริมใช้

    รายการในช่อง addOnOrigins ต้องเป็นรายการค่าที่เข้ากันได้กับแหล่งที่มาของโฮสต์ CSP เช่น https://*.addon.example.com หรือ https://main-stage-addon.example.com:443 ไม่อนุญาตให้ใช้เส้นทางทรัพยากร

    รายการนี้ใช้เพื่อดำเนินการต่อไปนี้

  3. หากแอปพลิเคชันใช้การไปยังส่วนต่างๆ ของ URL ภายใน iframe ต้นทางทั้งหมดที่จะไปยังส่วนต่างๆ จะต้องแสดงอยู่ในช่อง addOnOrigins โปรดทราบว่าระบบอนุญาตให้ใช้โดเมนย่อยแบบไวลด์การ์ด เช่น https://*.example.com อย่างไรก็ตาม เราขอแนะนำอย่างยิ่งว่าอย่าใช้โดเมนย่อยแบบไวลด์การ์ดกับโดเมนที่คุณไม่ได้เป็นเจ้าของ เช่น web.app ซึ่ง Firebase เป็นเจ้าของ