이 페이지에서는 서드 파티 부가기능이 충족해야 하는 보안 요구사항을 자세히 설명합니다.
출처 제한사항
출처는 스키마 (프로토콜), 호스트 (도메인), 포트가 포함된 URL입니다. 두 URL의 스키마, 호스트, 포트가 동일하면 두 URL의 출처가 동일합니다. 하위 출처가 허용됩니다. 자세한 내용은 RFC 6454를 참고하세요.
이러한 리소스는 스키마, 호스트, 포트 구성요소가 동일하므로 동일한 출처를 공유합니다.
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
출처를 사용할 때는 다음 제약조건이 적용됩니다.
부가기능 작동에 사용되는 모든 출처는
https를 프로토콜로 사용해야 합니다.부가기능 매니페스트의
addOnOrigins필드는 부가기능에서 사용하는 출처로 채워야 합니다.addOnOrigins필드의 항목은 CSP 호스트 소스 호환 값의 목록이어야 합니다. 예를 들면https://*.addon.example.com또는https://main-stage-addon.example.com:443입니다. 리소스 경로는 허용되지 않습니다.이 목록은 다음과 같은 용도로 사용됩니다.
애플리케이션이 포함된 iframe의
frame-src값을 설정합니다.부가기능에서 사용 중인 URL의 유효성을 검사합니다. 다음 언어로 사용되는 출처는 매니페스트의
addOnOrigins필드에 나열된 출처의 일부여야 합니다.부가기능 매니페스트의
sidePanelUri필드 자세한 내용은 Meet 부가기능 배포를 참고하세요.AddonScreenshareInfo객체의sidePanelUrl및mainStageUrl속성 자세한 내용은 화면 공유를 통해 사용자에게 부가기능 홍보하기를 참고하세요.ActivityStartingState의sidePanelUrl및mainStageUrl속성 활동 시작 상태에 관한 자세한 내용은 Meet 부가기능을 사용하여 공동작업하기를 참고하세요.
exposeToMeetWhenScreensharing()메서드를 호출하는 사이트의 출처를 확인합니다.
애플리케이션이 iframe 내에서 URL 탐색을 사용하는 경우 탐색되는 모든 출처가
addOnOrigins필드에 나열되어야 합니다. 와일드 카드 하위 도메인은 허용됩니다. 예를 들면https://*.example.com입니다. 하지만 소유하지 않은 도메인(예: Firebase에서 소유한web.app)에 와일드 카드 하위 도메인을 사용하지 않는 것이 좋습니다.