Dodatkowe zabezpieczenia

Na tej stronie znajdziesz szczegółowe informacje o wymaganiach dotyczących bezpieczeństwa, które muszą spełniać dodatki innych firm.

Ograniczenia dotyczące pochodzenia

Źródło to adres URL ze schematem (protokołem), hostem (domeną) i portem. Dwa adresy URL mają to samo źródło, gdy mają ten sam schemat, host i port. Dozwolone są subdomeny. Więcej informacji znajdziesz w dokumencie RFC 6454.

Te zasoby mają to samo źródło, ponieważ mają te same komponenty schematu, hosta i portu:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Podczas pracy z pochodzeniami obowiązują te ograniczenia:

1. Wszystkie źródła używane w działaniu dodatku muszą korzystać z protokołu https.

2. Pole addOnOrigins w pliku manifestu dodatku musi zawierać pochodzenie, z którego korzysta dodatek.

   Wpisy w polu addOnOrigins muszą być listą wartości zgodnych z źródłem hosta CSP. Na przykład https://*.addon.example.com lub https://main-stage-addon.example.com:443. Ścieżki zasobów są niedozwolone.

   Ta lista służy do:

   • Ustaw wartość frame-src w przypadku elementów iframe zawierających Twoją aplikację.

   • Sprawdź adresy URL używane przez dodatek. Źródło używane w tych regionach musi być częścią źródeł wymienionych w polu addOnOrigins w pliku manifestu:

     • Pole sidePanelUri w pliku manifestu dodatku. Więcej informacji znajdziesz w artykule Wdrażanie dodatku do Meet.

     • Właściwości sidePanelUrl i mainStageUrl w obiekcie AddonScreenshareInfo. Więcej informacji znajdziesz w artykule Promowanie dodatku wśród użytkowników za pomocą udostępniania ekranu.

     • Właściwości sidePanelUrl i mainStageUrl w ActivityStartingState. Więcej informacji o stanie początkowym aktywności znajdziesz w artykule Współpraca przy użyciu dodatku do Meet.

   • Sprawdź pochodzenie witryny, która wywołuje metodę exposeToMeetWhenScreensharing().

3. Jeśli aplikacja używa nawigacji po adresach URL w ramce iframe, wszystkie źródła, do których następuje nawigacja, muszą być wymienione w polu addOnOrigins. Pamiętaj, że subdomeny z wieloznacznymi symbolami są dozwolone. Na przykład:https://*.example.com. Zdecydowanie odradzamy jednak używanie subdomen z symbolem wieloznacznym w przypadku domeny, która nie należy do Ciebie, np. web.app, która jest własnością Firebase.