Дополнительная безопасность

На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.

Ограничения происхождения

Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют одинаковое происхождение, если они используют одну и ту же схему, хост и порт. Суб-источники разрешены. Дополнительную информацию см. в RFC 6454 .

Эти ресурсы имеют один и тот же источник, поскольку у них одинаковые компоненты схемы, хоста и порта:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

При работе с источниками применяются следующие ограничения:

1. Все источники, используемые в работе вашего дополнения, должны использовать https в качестве протокола.

2. Поле addOnOrigins в манифесте надстройки должно быть заполнено источниками, которые использует ваша надстройка.

   Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источником хоста CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.

   Этот список используется для:

   • Установите значениеframe frame-src для iframe, содержащего ваше приложение.

   • Проверьте URL-адреса, которые использует ваше дополнение. Источник, используемый в следующих локалях, должен быть частью источников, перечисленных в поле addOnOrigins манифеста:

     • sidePanelUri в манифесте надстройки. Дополнительную информацию см. в разделе «Развертывание надстройки Meet» .

     • sidePanelUrl и mainStageUrl в объекте AddonScreenshareInfo . Дополнительные сведения см. в разделе Продвижение надстройки среди пользователей посредством совместного использования экрана .

     • sidePanelUrl и mainStageUrl в ActivityStartingState . Дополнительную информацию о состоянии начала действия см. в разделе Совместная работа с помощью дополнения Meet .

   • Проверьте происхождение сайта, вызывающего метод exposeToMeetWhenScreensharing() .

3. Если ваше приложение использует навигацию по URL-адресу внутри iframe, все источники, к которым осуществляется переход, должны быть перечислены в поле addOnOrigins . Обратите внимание, что субдомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать подстановочные поддомены с доменом, которым вы не владеете, например web.app , принадлежащим Firebase.

,

На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.

Ограничения происхождения

Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют одинаковое происхождение, если они используют одну и ту же схему, хост и порт. Суб-источники разрешены. Дополнительную информацию см. в RFC 6454 .

Эти ресурсы имеют один и тот же источник, поскольку у них одинаковые компоненты схемы, хоста и порта:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

При работе с источниками применяются следующие ограничения:

1. Все источники, используемые в работе вашего дополнения, должны использовать https в качестве протокола.

2. Поле addOnOrigins в манифесте надстройки должно быть заполнено источниками, которые использует ваша надстройка.

   Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источником хоста CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.

   Этот список используется для:

   • Установите значениеframe frame-src для iframe, содержащего ваше приложение.

   • Проверьте URL-адреса, которые использует ваше дополнение. Источник, используемый в следующих локалях, должен быть частью источников, перечисленных в поле addOnOrigins манифеста:

     • sidePanelUri в манифесте надстройки. Дополнительную информацию см. в разделе «Развертывание надстройки Meet» .

     • sidePanelUrl и mainStageUrl в объекте AddonScreenshareInfo . Дополнительные сведения см. в разделе Продвижение надстройки среди пользователей посредством совместного использования экрана .

     • sidePanelUrl и mainStageUrl в ActivityStartingState . Дополнительную информацию о состоянии начала действия см. в разделе Совместная работа с помощью дополнения Meet .

   • Проверьте происхождение сайта, вызывающего метод exposeToMeetWhenScreensharing() .

3. Если ваше приложение использует навигацию по URL-адресу внутри iframe, все источники, к которым осуществляется переход, должны быть перечислены в поле addOnOrigins . Обратите внимание, что субдомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать субдомены с подстановочными знаками для домена, которым вы не владеете, например web.app , который принадлежит Firebase.