Sicurezza aggiuntiva

Questa pagina illustra i requisiti di sicurezza che devono soddisfare i componenti aggiuntivi di terze parti.

Restrizioni relative all'origine

Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, lo stesso host e la stessa porta. Le origini secondarie sono consentite. Per ulteriori informazioni, consulta la RFC 6454.

Queste risorse condividono la stessa origine in quanto hanno gli stessi componenti di schema, host e porta:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Quando si utilizzano le origini, vengono applicati i seguenti vincoli:

  1. Tutte le origini utilizzate per il funzionamento del tuo componente aggiuntivo devono utilizzare https come protocollo.

  2. Il campo addOnOrigins nel manifesto del componente aggiuntivo deve essere compilato con le origini utilizzate dal componente aggiuntivo.

    Le voci nel campo addOnOrigins devono essere un elenco di valori compatibili con l'origine dell'host del fornitore di servizi cloud. Ad esempio https://*.addon.example.com o https://main-stage-addon.example.com:443. I percorsi delle risorse non sono consentiti.

    Questo elenco viene utilizzato per:

  3. Se la tua applicazione utilizza la navigazione dell'URL all'interno dell'iframe, tutte le origini a cui si accede devono essere elencate nel campo addOnOrigins. Tieni presente che sono consentiti sottodomini con caratteri jolly. Ad esempio, https://*.example.com. Tuttavia, sconsigliamo vivamente di utilizzare sottodomini con caratteri jolly con un dominio che non possiedi, ad esempio web.app, di proprietà di Firebase.