Cette page présente les exigences de sécurité que les modules complémentaires tiers doivent respecter.
Restrictions d'origine
Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, le même hôte et le même port. Les sous-origines sont autorisées. Pour en savoir plus, consultez le document RFC 6454.
Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port:
https://example.com
https://example.com:80
https://*.example.com
Les contraintes suivantes sont appliquées lorsque vous utilisez des origines:
Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser le protocole
https
.Le champ
addOnOrigins
du fichier manifeste du module complémentaire doit être renseigné avec les origines utilisées par votre module complémentaire.Les entrées du champ
addOnOrigins
doivent être une liste de valeurs compatibles avec la source de l'hôte CSP. Exemples :https://*.addon.example.com
ouhttps://main-stage-addon.example.com:443
.Cette liste est utilisée pour:
Définissez la valeur
frame-src
des iFrames contenant votre application.Validez les URL utilisées par votre module complémentaire. L'origine utilisée dans les paramètres régionaux suivants doit faire partie des origines listées dans le champ
addOnOrigins
du fichier manifeste:Champ
sidePanelUri
dans le fichier manifeste du module complémentaire Pour en savoir plus, consultez Créer un module complémentaire Meet.sidePanelUrl
etmainStageUrl
dans l'objetAddonScreenshareInfo
Pour en savoir plus, consultez Promouvoir un module complémentaire auprès des utilisateurs via le partage d'écran.sidePanelUrl
etmainStageUrl
dansCollaborationStartingState
. Pour en savoir plus, consultez Utiliser l'état de départ de la collaboration.
Validez l'origine du site qui appelle la méthode
MeetAddonScreenshare.exposeToMeetWhenScreensharing
.
Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles l'utilisateur accède doivent être listées dans le champ
addOnOrigins
.