Дополнительная безопасность

На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.

Ограничения происхождения

Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют одинаковое происхождение, если они используют одну и ту же схему, хост и порт. Суб-источники разрешены. Дополнительную информацию см. в RFC 6454 .

Эти ресурсы имеют один и тот же источник, поскольку у них одинаковые компоненты схемы, хоста и порта:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

При работе с источниками применяются следующие ограничения:

  1. Все источники, используемые в работе вашего дополнения, должны использовать https в качестве протокола.

  2. Поле addOnOrigins в манифесте надстройки должно быть заполнено источниками, которые использует ваша надстройка.

    Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источником узла CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.

    Этот список используется для:

  3. Если ваше приложение использует навигацию по URL-адресу внутри iframe, все источники, к которым осуществляется переход, должны быть перечислены в поле addOnOrigins . Обратите внимание, что субдомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать подстановочные поддомены с доменом, которым вы не владеете, например web.app , принадлежащим Firebase.