Trang này được dịch bởi Cloud Translation API.

Tiện ích bổ sung bảo mật

Trang này trình bày chi tiết các yêu cầu về bảo mật đối với tiện ích bổ sung của bên thứ ba phải thực hiện.

Hạn chế về máy chủ gốc

Nguồn gốc là một URL có lược đồ (giao thức), máy chủ lưu trữ (miền) và cổng. Hai URL có cùng nguồn gốc khi sử dụng cùng một lược đồ, máy chủ lưu trữ và cổng. Nguồn gốc phụ được cho phép. Để biết thêm thông tin, hãy xem trang RFC 6454.

Các tài nguyên này có cùng nguồn gốc vì chúng có cùng lược đồ, máy chủ và thành phần cổng:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Các quy tắc ràng buộc sau đây được thực thi khi làm việc với nguồn gốc:

Tất cả nguồn gốc được dùng trong hoạt động của tiện ích bổ sung của bạn phải sử dụng https làm giao thức.
Trường addOnOrigins trong tiện ích bổ sung tệp kê khai phải được được điền sẵn các nguồn gốc mà tiện ích bổ sung của bạn là đang sử dụng.

Các mục nhập trong trường addOnOrigins phải là danh sách của máy chủ CSP nguồn các giá trị tương thích. Ví dụ: https://*.addon.example.com hoặc https://main-stage-addon.example.com:443. Tài nguyên đường dẫn không được phép.

Danh sách này dùng để:
- Thiết lập frame-src giá trị của iframe chứa ứng dụng của bạn.
- Xác thực URL mà tiện ích bổ sung của bạn đang sử dụng. Nguồn gốc dùng trong các ngôn ngữ sau đây phải thuộc các nguồn gốc đó được liệt kê ở trường addOnOrigins trong tệp kê khai:
  - Trường sidePanelUri trong tiện ích bổ sung tệp kê khai. Để biết thêm thông tin, hãy xem Tạo tiện ích bổ sung cho Meet.
  - sidePanelUrl và mainStageUrl trong AddonScreenshareInfo . Để biết thêm thông tin, hãy xem Quảng bá tiện ích bổ sung cho người dùng thông qua tính năng chia sẻ màn hình.
  - sidePanelUrl và mainStageUrl trong CollaborationStartingState. Để biết thêm thông tin, hãy xem phần Sử dụng trạng thái bắt đầu của dự án cộng tác.
- Xác thực nguồn gốc của trang web đang gọi hàm MeetAddonScreenshare.exposeToMeetWhenScreensharing .
Nếu ứng dụng của bạn sử dụng tính năng điều hướng URL bên trong iframe, thì mọi nguồn gốc mà đang được điều hướng đến phải được liệt kê trong trường addOnOrigins. Lưu ý rằng có thể sử dụng ký tự đại diện miền con. Ví dụ: https://*.example.com. Tuy nhiên, bạn không nên dùng ký tự đại diện miền con có miền bạn không sở hữu, chẳng hạn như web.app thuộc sở hữu của Firebase.