این صفحه الزامات امنیتی را که افزونه های شخص ثالث باید انجام دهند، شرح می دهد.
محدودیت های مبدا
مبدا یک URL با طرح (پروتکل)، میزبان (دامنه) و پورت است. دو URL زمانی که طرح، میزبان و پورت یکسانی را به اشتراک می گذارند، منشأ یکسانی دارند. منابع فرعی مجاز هستند. برای اطلاعات بیشتر، RFC 6454 را ببینید.
این منابع منشا یکسانی دارند زیرا دارای اجزای طرح، میزبان و پورت یکسان هستند:
-
https://www.example.com
-
https://www.example.com:443
-
https://www.example.com/sidePanel.html
محدودیت های زیر هنگام کار با مبدا اعمال می شود:
تمام منابع مورد استفاده در عملکرد افزونه شما باید از
https
به عنوان پروتکل استفاده کنند.قسمت
addOnOrigins
در مانیفست الحاقی باید با مبداهایی که افزونه شما استفاده میکند پر شود.ورودیهای فیلد
addOnOrigins
باید فهرستی از مقادیر سازگار منبع میزبان CSP باشد. برای مثالhttps://*.addon.example.com
یاhttps://main-stage-addon.example.com:443
. مسیرهای منبع مجاز نیستند.این لیست برای موارد زیر استفاده می شود:
مقدار
frame-src
iframe های حاوی برنامه خود را تنظیم کنید.URL هایی را که افزونه شما استفاده می کند اعتبار سنجی کنید. مبدا استفاده شده در زبان های زیر باید بخشی از مبداهای فهرست شده در فیلد
addOnOrigins
در مانیفست باشد:فیلد
sidePanelUri
در مانیفست افزونه. برای اطلاعات بیشتر، به استقرار افزونه Meet مراجعه کنید.ویژگی های
sidePanelUrl
وmainStageUrl
در شیAddonScreenshareInfo
. برای اطلاعات بیشتر، به تبلیغ یک افزونه به کاربران از طریق اشتراکگذاری صفحه مراجعه کنید.ویژگی های
sidePanelUrl
وmainStageUrl
درActivityStartingState
. برای اطلاعات بیشتر در مورد وضعیت شروع فعالیت، به همکاری با استفاده از افزونه Meet مراجعه کنید.
مبدأ سایتی را که متد
exposeToMeetWhenScreensharing()
را فراخوانی میکند، تأیید کنید.
اگر برنامه شما از پیمایش URL در داخل iframe استفاده می کند، همه مبداهایی که به آنها پیمایش می شوند باید در قسمت
addOnOrigins
فهرست شوند. توجه داشته باشید که زیر دامنه های wildcard مجاز هستند. به عنوان مثال،https://*.example.com
. با این حال، اکیداً توصیه میکنیم از زیردامنههای wildcard با دامنهای که شما مالک آن نیستید استفاده نکنید، مانندweb.app
که متعلق به Firebase است.