অ্যাড-অন নিরাপত্তা
সেভ করা পৃষ্ঠা গুছিয়ে রাখতে 'সংগ্রহ' ব্যবহার করুন
আপনার পছন্দ অনুযায়ী কন্টেন্ট সেভ করুন ও সঠিক বিভাগে রাখুন।
এই পৃষ্ঠাটি তৃতীয় পক্ষের অ্যাড-অনগুলিকে পূরণ করতে হবে এমন সুরক্ষা প্রয়োজনীয়তার বিবরণ দেয়৷
উৎপত্তি সীমাবদ্ধতা
একটি মূল হল একটি স্কিম (প্রটোকল), হোস্ট (ডোমেন) এবং পোর্ট সহ একটি URL। দুটি ইউআরএল একই স্কিম, হোস্ট এবং পোর্ট শেয়ার করলে একই উৎপত্তি হয়। উপ-উৎপত্তি অনুমোদিত. আরও তথ্যের জন্য, RFC 6454 দেখুন।
এই সম্পদগুলি একই উত্স ভাগ করে কারণ তাদের একই স্কিম, হোস্ট এবং পোর্ট উপাদান রয়েছে:
-
https://www.example.com -
https://www.example.com:443 -
https://www.example.com/sidePanel.html
উত্সের সাথে কাজ করার সময় নিম্নলিখিত সীমাবদ্ধতাগুলি প্রয়োগ করা হয়:
আপনার অ্যাড-অনের অপারেশনে ব্যবহৃত সমস্ত উত্স অবশ্যই প্রোটোকল হিসাবে https ব্যবহার করবে৷
অ্যাড-অন ম্যানিফেস্টে addOnOrigins ক্ষেত্রটি আপনার অ্যাড-অন ব্যবহার করা মূলগুলির সাথে পপুলেট করা আবশ্যক৷
addOnOrigins ক্ষেত্রের এন্ট্রিগুলি অবশ্যই CSP হোস্ট সোর্স সামঞ্জস্যপূর্ণ মানগুলির একটি তালিকা হতে হবে। উদাহরণস্বরূপ https://*.addon.example.com বা https://main-stage-addon.example.com:443 । সম্পদ পাথ অনুমোদিত নয়.
এই তালিকা ব্যবহার করা হয়:
আপনার অ্যাপ্লিকেশন ধারণকারী iframes এর frame-src মান সেট করুন।
আপনার অ্যাড-অন ব্যবহার করা URLগুলিকে যাচাই করুন৷ নিম্নলিখিত লোকেলে ব্যবহৃত মূলটি অবশ্যই ম্যানিফেস্টের addOnOrigins ক্ষেত্রে তালিকাভুক্ত উত্সের অংশ হতে হবে:
exposeToMeetWhenScreensharing() পদ্ধতিতে কল করা সাইটের উত্স যাচাই করুন৷
যদি আপনার অ্যাপ্লিকেশনটি iframe-এর মধ্যে URL নেভিগেশন ব্যবহার করে, তাহলে যে সমস্ত অরিজিন নেভিগেট করা হচ্ছে তা অবশ্যই addOnOrigins ক্ষেত্রে তালিকাভুক্ত করতে হবে। নোট করুন যে ওয়াইল্ডকার্ড সাবডোমেন অনুমোদিত। উদাহরণস্বরূপ, https://*.example.com । যাইহোক, আমরা দৃঢ়ভাবে পরামর্শ দিই যে আপনার মালিকানাধীন নয় এমন একটি ডোমেনের সাথে ওয়াইল্ডকার্ড সাবডোমেন ব্যবহার করার বিরুদ্ধে, যেমন web.app যা Firebase-এর মালিকানাধীন।
অন্য কিছু উল্লেখ না করা থাকলে, এই পৃষ্ঠার কন্টেন্ট Creative Commons Attribution 4.0 License-এর অধীনে এবং কোডের নমুনাগুলি Apache 2.0 License-এর অধীনে লাইসেন্স প্রাপ্ত। আরও জানতে, Google Developers সাইট নীতি দেখুন। Java হল Oracle এবং/অথবা তার অ্যাফিলিয়েট সংস্থার রেজিস্টার্ড ট্রেডমার্ক।
2025-07-30 UTC-তে শেষবার আপডেট করা হয়েছে।
[null,null,["2025-07-30 UTC-তে শেষবার আপডেট করা হয়েছে।"],[],[],null,["# Add-on security\n\nThis page details the security requirements third-party add-ons\nhave to fulfill.\n\nOrigin restrictions\n-------------------\n\nAn origin is a URL with a scheme (protocol), host (domain), and port. Two URLs\nhave the same origin when they share the same scheme, host, and port.\nSub-origins are permitted. For more information, see [RFC\n6454](https://www.ietf.org/rfc/rfc6454.txt).\n\nThese resources share the same origin as they have the same scheme, host, and\nport components:\n\n- `https://www.example.com`\n- `https://www.example.com:443`\n- `https://www.example.com/sidePanel.html`\n\nThe following constraints are enforced when working with origins:\n\n1. All [origins](/workspace/meet/add-ons/guides/overview#origin) used in the operation of\n your add-on must use `https` as the protocol.\n\n2. The `addOnOrigins` field in the [add-on\n manifest](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment) must be\n populated with the origins that your add-on is\n using.\n\n The entries in the `addOnOrigins` field must be a list of [CSP host\n source](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#host-source)\n compatible values. For example `https://*.addon.example.com` or\n `https://main-stage-addon.example.com:443`. [Resource\n paths](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/Web_mechanics/What_is_a_URL#path_to_resource)\n are not allowed.\n\n This list is used to:\n - Set the\n [`frame-src`](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src)\n value of the iframes containing your application.\n\n - Validate the URLs that your add-on is using.\n The origin used in the following locales must be part of the origins\n listed in the `addOnOrigins` field in the manifest:\n\n - The `sidePanelUri` field in the add-on\n manifest. For more information, see\n [Deploy a Meet add-on](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`AddonScreenshareInfo`](/workspace/meet/add-ons/reference/websdk/screenshare_api.addonscreenshareinfo)\n object. For more information, see\n [Promote an add-on to users through screen\n sharing](/workspace/meet/add-ons/guides/promote#screen_sharing).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`ActivityStartingState`](/workspace/meet/add-ons/reference/websdk/addon_sdk.activitystartingstate).\n For more information on activity starting state, see [Collaborate using a Meet add-on](/workspace/meet/add-ons/guides/collaborate-in-the-add-on).\n\n - Validate the origin of the site that's calling the\n [`exposeToMeetWhenScreensharing()`](/workspace/meet/add-ons/reference/websdk/screenshare_api.meetaddonscreenshare.exposetomeetwhenscreensharing)\n method.\n\n3. If your application uses URL navigation inside the iframe, all origins that\n are being navigated to must be listed in the `addOnOrigins` field. Note that\n wildcard subdomains are permitted. For example,\n `https://*.example.com`. However, we strongly advise against using wildcard\n subdomains with a domain you don't own, such as `web.app` which is owned by\n Firebase."]]
