Trang này được dịch bởi Cloud Translation API.

Tiện ích bổ sung bảo mật

Trang này trình bày chi tiết các yêu cầu bảo mật mà tiện ích bổ sung của bên thứ ba phải đáp ứng.

Quy định hạn chế về nguồn gốc

Nguồn gốc là một URL có lược đồ (giao thức), máy chủ (miền) và cổng. Hai URL có cùng nguồn gốc khi có cùng giao thức, máy chủ lưu trữ và cổng. Nguồn gốc phụ được cho phép. Để biết thêm thông tin, hãy xem RFC 6454.

Các tài nguyên này có cùng nguồn gốc vì có cùng thành phần lược đồ, máy chủ và cổng:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Các quy tắc ràng buộc sau đây được thực thi khi làm việc với các nguồn gốc:

Tất cả nguồn gốc dùng trong hoạt động của tiện ích bổ sung phải sử dụng https làm giao thức.
Bạn phải điền các nguồn gốc mà tiện ích bổ sung đang sử dụng vào trường addOnOrigins trong tệp kê khai tiện ích bổ sung.

Các mục nhập trong trường addOnOrigins phải là danh sách các giá trị tương thích với nguồn máy chủ của CSP. Ví dụ: https://*.addon.example.com hoặc https://main-stage-addon.example.com:443. Không được phép sử dụng đường dẫn tài nguyên.

Danh sách này dùng để:
- Đặt giá trị frame-src của các iframe chứa ứng dụng.
- Xác thực các URL mà tiện ích bổ sung của bạn đang sử dụng. Nguồn gốc được dùng trong các ngôn ngữ sau phải là một phần của nguồn gốc được liệt kê trong trường addOnOrigins trong tệp kê khai:
  - Trường sidePanelUri trong tệp kê khai tiện ích bổ sung. Để biết thêm thông tin, hãy xem bài viết Triển khai tiện ích bổ sung Meet.
  - Các thuộc tính sidePanelUrl và mainStageUrl trong đối tượng AddonScreenshareInfo. Để biết thêm thông tin, hãy xem phần Quảng bá tiện ích bổ sung cho người dùng thông qua tính năng chia sẻ màn hình.
  - Các thuộc tính sidePanelUrl và mainStageUrl trong ActivityStartingState. Để biết thêm thông tin về trạng thái bắt đầu hoạt động, hãy xem bài viết Collaborate using a Meet Add-on (Tham gia cộng tác bằng tiện ích bổ sung Meet).
- Xác thực nguồn gốc của trang web đang gọi phương thức exposeToMeetWhenScreensharing().
Nếu ứng dụng của bạn sử dụng tính năng điều hướng URL bên trong iframe, thì tất cả các nguồn gốc đang được điều hướng đến phải được liệt kê trong trường addOnOrigins. Xin lưu ý rằng chúng tôi cho phép miền con ký tự đại diện. Ví dụ: https://*.example.com. Tuy nhiên, bạn không nên sử dụng miền con ký tự đại diện với một miền mà bạn không sở hữu, chẳng hạn như web.app do Firebase sở hữu.