На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.
Ограничения происхождения
Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют одинаковое происхождение, если они используют одну и ту же схему, хост и порт. Суб-источники разрешены. Дополнительную информацию см. в RFC 6454 .
Эти ресурсы имеют один и тот же источник, поскольку у них одинаковые компоненты схемы, хоста и порта:
-
https://www.example.com
-
https://www.example.com:443
-
https://www.example.com/sidePanel.html
При работе с источниками применяются следующие ограничения:
Все источники, используемые в работе вашего дополнения, должны использовать
https
в качестве протокола.Поле
addOnOrigins
в манифесте надстройки должно быть заполнено источниками, которые использует ваша надстройка.Записи в поле
addOnOrigins
должны представлять собой список значений, совместимых с источником узла CSP . Напримерhttps://*.addon.example.com
илиhttps://main-stage-addon.example.com:443
. Пути к ресурсам не допускаются.Этот список используется для:
Установите значениеframe
frame-src
для iframe, содержащего ваше приложение.Проверьте URL-адреса, которые использует ваше дополнение. Источник, используемый в следующих локалях, должен быть частью источников, перечисленных в поле
addOnOrigins
манифеста:sidePanelUri
в манифесте надстройки. Дополнительную информацию см. в разделе «Развертывание надстройки Meet» .sidePanelUrl
иmainStageUrl
в объектеAddonScreenshareInfo
. Дополнительные сведения см. в разделе Продвижение надстройки среди пользователей посредством совместного использования экрана .sidePanelUrl
иmainStageUrl
вActivityStartingState
. Дополнительную информацию о состоянии начала действия см. в разделе Совместная работа с помощью дополнения Meet .
Проверьте происхождение сайта, вызывающего метод
exposeToMeetWhenScreensharing()
.
Если ваше приложение использует навигацию по URL-адресу внутри iframe, все источники, к которым осуществляется переход, должны быть перечислены в поле
addOnOrigins
. Обратите внимание, что субдомены с подстановочными знаками разрешены. Например,https://*.example.com
. Однако мы настоятельно не рекомендуем использовать подстановочные поддомены с доменом, которым вы не владеете, напримерweb.app
, принадлежащим Firebase.