Tiện ích bổ sung bảo mật

Trang này trình bày chi tiết các yêu cầu bảo mật mà tiện ích bổ sung của bên thứ ba phải đáp ứng.

Quy định hạn chế về nguồn gốc

Nguồn gốc là một URL có lược đồ (giao thức), máy chủ (miền) và cổng. Hai URL có cùng nguồn gốc khi chúng có cùng lược đồ, máy chủ và cổng. Được phép sử dụng nguồn gốc phụ. Để biết thêm thông tin, hãy xem RFC 6454.

Các tài nguyên này có cùng nguồn gốc vì có cùng thành phần lược đồ, máy chủ và cổng:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Các quy tắc ràng buộc sau đây được thực thi khi làm việc với các nguồn gốc:

  1. Tất cả nguồn gốc dùng trong hoạt động của tiện ích bổ sung phải sử dụng https làm giao thức.

  2. Bạn phải điền các nguồn gốc mà tiện ích bổ sung đang sử dụng vào trường addOnOrigins trong tệp kê khai tiện ích bổ sung.

    Các mục nhập trong trường addOnOrigins phải là danh sách các giá trị tương thích với nguồn máy chủ của CSP. Ví dụ: https://*.addon.example.com hoặc https://main-stage-addon.example.com:443. Không được phép sử dụng đường dẫn tài nguyên.

    Danh sách này được dùng để:

  3. Nếu ứng dụng của bạn sử dụng tính năng điều hướng URL bên trong iframe, thì tất cả các nguồn gốc đang được điều hướng đến phải được liệt kê trong trường addOnOrigins. Xin lưu ý rằng chúng tôi cho phép sử dụng miền con ký tự đại diện. Ví dụ: https://*.example.com. Tuy nhiên, bạn không nên sử dụng miền con ký tự đại diện với một miền mà bạn không sở hữu, chẳng hạn như web.app do Firebase sở hữu.