Auf dieser Seite werden die Sicherheitsanforderungen beschrieben, die Add-ons von Drittanbietern erfüllen müssen.
Herkunftseinschränkungen
Eine Quelle ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs haben dieselbe Quelle, wenn sie dasselbe Schema, denselben Host und denselben Port haben. Untergeordnete Ursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454.
Diese Ressourcen haben denselben Ursprung, da sie dieselben Schema-, Host- und Portkomponenten haben:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Bei der Arbeit mit Ursprüngen gelten die folgenden Einschränkungen:
Alle Quellen, die für den Betrieb Ihres Add-ons verwendet werden, müssen
https
als Protokoll verwenden.Das Feld
addOnOrigins
im Add-on-Manifest muss mit den Quellen ausgefüllt werden, die von Ihrem Add-on verwendet werden.Die Einträge im Feld
addOnOrigins
müssen eine Liste von mit der CSP-Hostquelle kompatiblen Werten sein. Beispiel:https://*.addon.example.com
oderhttps://main-stage-addon.example.com:443
. Ressourcenpfade sind nicht zulässig.Diese Liste wird für Folgendes verwendet:
Legen Sie den Wert
frame-src
für die Iframes fest, die Ihre Anwendung enthalten.Prüfen Sie die URLs, die von Ihrem Add-on verwendet werden. Die in den folgenden Sprachen verwendete Quelle muss zu den im Feld
addOnOrigins
im Manifest aufgeführten Quellen gehören:Das Feld
sidePanelUri
im Add-on-Manifest. Weitere Informationen finden Sie unter Meet-Add-on bereitstellen.Die Properties
sidePanelUrl
undmainStageUrl
imAddonScreenshareInfo
-Objekt. Weitere Informationen finden Sie unter Add-ons über die Bildschirmfreigabe bewerben.Die Properties
sidePanelUrl
undmainStageUrl
inActivityStartingState
. Weitere Informationen zum Startstatus von Aktivitäten finden Sie unter Mit einem Meet-Add-on zusammenarbeiten.
Prüfen Sie den Ursprung der Website, die die Methode
exposeToMeetWhenScreensharing()
aufruft.
Wenn Ihre Anwendung die URL-Navigation innerhalb des iFrames verwendet, müssen alle Ursprünge, zu denen navigiert wird, im Feld
addOnOrigins
aufgeführt sein. Platzhalter-Subdomains sind zulässig. Beispiel:https://*.example.com
Wir raten jedoch dringend davon ab, Platzhalter-Subdomains mit einer Domain zu verwenden, deren Inhaber Sie nicht sind, z. B.web.app
, die zu Firebase gehört.