アドオンのセキュリティ

このページでは、サードパーティ アドオンのセキュリティ要件について詳しく説明します。 満たさなければなりません。

送信元の制限

オリジンとは、スキーム（プロトコル）、ホスト（ドメイン）、ポートを含む URL です。2 つの URL スキーム、ホスト、ポートが同じ場合、オリジンは同じになります。 サブオリジンは許可されます。詳細については、RFC 6454。

これらのリソースは、同じスキーム、ホスト、ドメインを持つため、同じオリジンを共有します。 ポート コンポーネント:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

オリジンを扱う場合は、次の制約が適用されます。

1. オペレーションで使用されるすべてのオリジン アドオンのプロトコルとして https を使用する必要があります。

2. アドオンの addOnOrigins フィールド マニフェストは、 発行元が自動的に入力されます できます。

   addOnOrigins フィールドのエントリは、CSP ホストのリストにする必要があります。 出典 使用できます。例: https://*.addon.example.com https://main-stage-addon.example.com:443。リソース パス は使用できません。

   このリストは次の目的で使用されます。

   • frame-src 値を宣言します。

   • アドオンで使用している URL を確認します。 次の言語 / 地域で使用するオリジンは、オリジンに含まれている必要があります マニフェストの addOnOrigins フィールドに次のように記述されています。

     • アドオンの sidePanelUri フィールド 使用します。詳細については、次をご覧ください: Meet アドオンを作成する。

     • sidePanelUrl と mainStageUrl AddonScreenshareInfo 渡されます。詳細については、次をご覧ください: 画面共有を通じてユーザーにアドオンを売り込む。

     • sidePanelUrl と mainStageUrl CollaborationStartingState。 詳しくは、コラボレーションの開始状態を使用するをご覧ください。

   • を呼び出しているサイトの提供元を検証する MeetAddonScreenshare.exposeToMeetWhenScreensharing メソッドを呼び出します。

3. アプリケーションで iframe 内で URL ナビゲーションを使用する場合、 移動先の URL は addOnOrigins フィールドにリストされる必要があります。注: ワイルドカード サブドメインを使用できます。例: https://*.example.com。ただし、ワイルドカードとして 所有していないドメインを含むサブドメイン（例: web.app が所有 Firebase。