アドオンのセキュリティ

このページでは、サードパーティ製アドオンが満たす必要のあるセキュリティ要件について詳しく説明します。

オリジンの制限

オリジンは、スキーム（プロトコル）、ホスト（ドメイン）、ポートを含む URL です。2 つの URL が同じスキーム、ホスト、ポートを共有している場合、それらの URL は同じオリジンを持ちます。サブオリジンは許可されます。詳細については、RFC 6454 をご覧ください。

これらのリソースは、同じスキーム、ホスト、ポート コンポーネントを持つため、同じオリジンを共有します。

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

オリジンを操作する場合は、次の制約が適用されます。

1. アドオンの動作で使用されるすべてのオリジンは、プロトコルとして https を使用する必要があります。

2. アドオンのマニフェストの addOnOrigins フィールドには、アドオンが使用しているオリジンを入力する必要があります。

   addOnOrigins フィールドのエントリは、CSP ホストソース互換の値のリストである必要があります。たとえば、https://*.addon.example.com や https://main-stage-addon.example.com:443 です。リソースパスは使用できません。

   このリストは次の目的で使用されます。

   • アプリケーションを含む iframe の frame-src 値を設定します。

   • アドオンで使用している URL を検証します。次のロケールで使用されるオリジンは、マニフェストの addOnOrigins フィールドに記載されているオリジンの一部である必要があります。

     • アドオン マニフェストの sidePanelUri フィールド。詳細については、Meet 用アドオンをデプロイするをご覧ください。

     • AddonScreenshareInfo オブジェクトの sidePanelUrl プロパティと mainStageUrl プロパティ。詳しくは、画面共有でユーザーにアドオンを宣伝するをご覧ください。

     • ActivityStartingState の sidePanelUrl プロパティと mainStageUrl プロパティ。アクティビティの開始状態について詳しくは、 Meet アドオンを使用して共同編集するをご覧ください。

   • exposeToMeetWhenScreensharing() メソッドを呼び出すサイトのオリジンを検証します。

3. アプリケーションが iframe 内で URL ナビゲーションを使用している場合、ナビゲーション先のすべてのオリジンを addOnOrigins フィールドにリストする必要があります。ワイルドカード サブドメインは許可されます。例: https://*.example.com。ただし、Firebase が所有する web.app など、所有していないドメインでワイルドカード サブドメインを使用することは強くおすすめしません。