امنیت افزودنی

این صفحه الزامات امنیتی را که افزونه های شخص ثالث باید انجام دهند، شرح می دهد.

محدودیت های مبدا

مبدا یک URL با طرح (پروتکل)، میزبان (دامنه) و پورت است. دو URL زمانی که طرح، میزبان و پورت یکسانی را به اشتراک می گذارند، منشأ یکسانی دارند. منابع فرعی مجاز هستند. برای اطلاعات بیشتر، RFC 6454 را ببینید.

این منابع منشا یکسانی دارند زیرا دارای اجزای طرح، میزبان و پورت یکسان هستند:

• https://example.com
• https://example.com:80
• https://*.example.com

محدودیت های زیر هنگام کار با مبدا اعمال می شود:

1. تمام منابع مورد استفاده در عملکرد افزونه شما باید از https به عنوان پروتکل استفاده کنند.

2. قسمت addOnOrigins در مانیفست الحاقی باید با مبداهایی که افزونه شما استفاده می‌کند پر شود.

   ورودی‌های فیلد addOnOrigins باید فهرستی از مقادیر سازگار منبع میزبان CSP باشد. برای مثال https://*.addon.example.com یا https://main-stage-addon.example.com:443 .

   این لیست برای موارد زیر استفاده می شود:

   • مقدار frame-src iframe های حاوی برنامه خود را تنظیم کنید.

   • URL هایی را که افزونه شما استفاده می کند اعتبار سنجی کنید. مبدا استفاده شده در زبان های زیر باید بخشی از مبداهای فهرست شده در فیلد addOnOrigins در مانیفست باشد:

     • فیلد sidePanelUri در مانیفست افزونه. برای اطلاعات بیشتر، به ساخت افزونه Meet مراجعه کنید.

     • sidePanelUrl و mainStageUrl در شی AddonScreenshareInfo . برای اطلاعات بیشتر، به تبلیغ یک افزونه به کاربران از طریق اشتراک‌گذاری صفحه مراجعه کنید.

     • sidePanelUrl و mainStageUrl در CollaborationStartingState . برای اطلاعات بیشتر، استفاده از حالت شروع همکاری را ببینید.

   • مبدأ سایتی را که متد MeetAddonScreenshare.exposeToMeetWhenScreensharing را فراخوانی می‌کند تأیید کنید.

3. اگر برنامه شما از پیمایش URL در داخل iframe استفاده می کند، همه مبداهایی که به آنها پیمایش می شوند باید در قسمت addOnOrigins فهرست شوند.