Cette page a été traduite par l'API Cloud Translation.

Sécurité complémentaire

Cette page détaille les exigences de sécurité que les modules complémentaires tiers doivent respecter.

Restrictions liées à l'origine

Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, l'hôte et le port. Les sous-origines sont autorisées. Pour en savoir plus, consultez la norme RFC 6454.

Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Les contraintes suivantes s'appliquent lorsque vous travaillez avec des origines:

Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser https comme protocole.
Le champ addOnOrigins du fichier manifeste du module complémentaire doit être renseigné avec les origines utilisées par votre module complémentaire.

Les entrées du champ addOnOrigins doivent être une liste de valeurs compatibles avec la source d'hôte du CSP. Exemples : https://*.addon.example.com ou https://main-stage-addon.example.com:443. Les chemins d'accès aux ressources ne sont pas autorisés.

Cette liste permet de:
- Définissez la valeur frame-src des iFrames contenant votre application.
- Validez les URL utilisées par votre module complémentaire. L'origine utilisée dans les paramètres régionaux suivants doit faire partie des origines listées dans le champ addOnOrigins du fichier manifeste:
  - Champ sidePanelUri dans le fichier manifeste du module complémentaire Pour en savoir plus, consultez la section Déployer un module complémentaire Meet.
  - Les propriétés sidePanelUrl et mainStageUrl dans l'objet AddonScreenshareInfo Pour en savoir plus, consultez Promouvoir un module complémentaire auprès des utilisateurs via le partage d'écran.
  - Propriétés sidePanelUrl et mainStageUrl dans ActivityStartingState. Pour en savoir plus sur l'état de démarrage de l'activité, consultez Collaborer à l'aide d'un module complémentaire Meet.
- Validez l'origine du site qui appelle la méthode exposeToMeetWhenScreensharing().
Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles la navigation est effectuée doivent être listées dans le champ addOnOrigins. Notez que les sous-domaines avec caractères génériques sont autorisés. Exemple : https://*.example.com. Toutefois, nous vous déconseillons vivement d'utiliser des sous-domaines génériques avec un domaine dont vous n'êtes pas propriétaire, comme web.app, qui appartient à Firebase.