Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza aggiuntiva

Questa pagina illustra i requisiti di sicurezza che devono soddisfare i componenti aggiuntivi di terze parti.

Restrizioni relative all'origine

Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, lo stesso host e la stessa porta. Le origini secondarie sono consentite. Per ulteriori informazioni, consulta la RFC 6454.

Queste risorse condividono la stessa origine in quanto hanno gli stessi componenti schema, host e porta:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Quando si utilizzano le origini, vengono applicati i seguenti vincoli:

Tutte le origini utilizzate nell'operazione del componente aggiuntivo devono usare https come protocollo.
Il campo addOnOrigins nel manifesto del componente aggiuntivo deve essere compilato con le origini utilizzate dal componente aggiuntivo.

Le voci nel campo addOnOrigins devono essere un elenco di valori compatibili con l'origine dell'host del CSP. Ad esempio https://*.addon.example.com o https://main-stage-addon.example.com:443. I percorsi delle risorse non sono consentiti.

Questo elenco viene utilizzato per:
- Imposta il valore frame-src degli iframe contenenti la tua applicazione.
- Convalida gli URL utilizzati dal componente aggiuntivo. L'origine utilizzata nelle seguenti lingue deve far parte delle origini elencate nel campo addOnOrigins del file manifest:
  - Il campo sidePanelUri nel manifest del componente aggiuntivo. Per ulteriori informazioni, vedi Eseguire il deployment di un componente aggiuntivo Meet.
  - Le proprietà sidePanelUrl e mainStageUrl nell'oggetto AddonScreenshareInfo. Per ulteriori informazioni, consulta Promuovere un componente aggiuntivo agli utenti tramite la condivisione dello schermo.
  - Le proprietà sidePanelUrl e mainStageUrl in ActivityStartingState. Per ulteriori informazioni sullo stato di avvio dell'attività, consulta Collaborare utilizzando un componente aggiuntivo di Meet.
- Convalida l'origine del sito che chiama il metodo exposeToMeetWhenScreensharing().
Se la tua applicazione utilizza la navigazione tramite URL all'interno dell'iframe, tutte le origini accessibili devono essere elencate nel campo addOnOrigins. Tieni presente che sono consentiti sottodomini con caratteri jolly. Ad esempio, https://*.example.com. Tuttavia, sconsigliamo vivamente di utilizzare sottodomini con caratteri jolly con un dominio che non possiedi, ad esempio web.app, di proprietà di Firebase.