Add-on-Sicherheit

Auf dieser Seite werden die Sicherheitsanforderungen beschrieben, die Add-ons von Drittanbietern erfüllen müssen.

Herkunftseinschränkungen

Eine Quelle ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs haben dieselbe Quelle, wenn sie dasselbe Schema, denselben Host und denselben Port haben. Untergeordnete Ursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454.

Diese Ressourcen haben denselben Ursprung, da sie dieselben Schema-, Host- und Portkomponenten haben:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Bei der Arbeit mit Ursprüngen gelten die folgenden Einschränkungen:

  1. Alle Quellen, die für den Betrieb Ihres Add-ons verwendet werden, müssen https als Protokoll verwenden.

  2. Das Feld addOnOrigins im Add-on-Manifest muss mit den Quellen ausgefüllt werden, die von Ihrem Add-on verwendet werden.

    Die Einträge im Feld addOnOrigins müssen eine Liste von mit der CSP-Hostquelle kompatiblen Werten sein. Beispiel: https://*.addon.example.com oder https://main-stage-addon.example.com:443. Ressourcenpfade sind nicht zulässig.

    Diese Liste wird für Folgendes verwendet:

  3. Wenn Ihre Anwendung die URL-Navigation innerhalb des iFrames verwendet, müssen alle Ursprünge, zu denen navigiert wird, im Feld addOnOrigins aufgeführt sein. Platzhalter-Subdomains sind zulässig. Beispiel: https://*.example.com Wir raten jedoch dringend davon ab, Platzhalter-Subdomains mit einer Domain zu verwenden, deren Inhaber Sie nicht sind, z. B. web.app, die zu Firebase gehört.