অ্যাড-অন নিরাপত্তা

এই পৃষ্ঠায় তৃতীয় পক্ষের অ্যাড-অনগুলিকে যে সুরক্ষা প্রয়োজনীয়তাগুলি পূরণ করতে হবে তার বিশদ বিবরণ দেওয়া হয়েছে।

উৎপত্তি সংক্রান্ত সীমাবদ্ধতা

একটি অরিজিন হল একটি URL যার একটি স্কিম (প্রোটোকল), হোস্ট (ডোমেন) এবং পোর্ট রয়েছে। দুটি URL একই স্কিম, হোস্ট এবং পোর্ট ভাগ করলে একই অরিজিন থাকে। সাব-অরিজিন অনুমোদিত। আরও তথ্যের জন্য, RFC 6454 দেখুন।

এই রিসোর্সগুলির উৎপত্তি একই কারণ তাদের স্কিম, হোস্ট এবং পোর্ট উপাদান একই:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

অরিজিন নিয়ে কাজ করার সময় নিম্নলিখিত সীমাবদ্ধতাগুলি প্রয়োগ করা হয়:

  1. আপনার অ্যাড-অনের পরিচালনায় ব্যবহৃত সমস্ত অরিজিনকে প্রোটোকল হিসেবে https ব্যবহার করতে হবে।

  2. অ্যাড-অন ম্যানিফেস্টে থাকা addOnOrigins ফিল্ডটি অবশ্যই আপনার অ্যাড-অন যে অরিজিন ব্যবহার করছে তা দিয়ে পূর্ণ করতে হবে।

    addOnOrigins ক্ষেত্রের এন্ট্রিগুলি অবশ্যই CSP হোস্ট সোর্স সামঞ্জস্যপূর্ণ মানের একটি তালিকা হতে হবে। উদাহরণস্বরূপ https://*.addon.example.com অথবা https://main-stage-addon.example.com:443রিসোর্স পাথ অনুমোদিত নয়।

    এই তালিকাটি ব্যবহার করা হয়:

  3. যদি আপনার অ্যাপ্লিকেশনটি iframe-এর ভিতরে URL নেভিগেশন ব্যবহার করে, তাহলে নেভিগেট করা সমস্ত অরিজিন addOnOrigins ক্ষেত্রে তালিকাভুক্ত করতে হবে। মনে রাখবেন যে ওয়াইল্ডকার্ড সাবডোমেন অনুমোদিত। উদাহরণস্বরূপ, https://*.example.com । তবে, আমরা দৃঢ়ভাবে এমন কোনও ডোমেনের সাথে ওয়াইল্ডকার্ড সাবডোমেন ব্যবহার না করার পরামর্শ দিচ্ছি যা আপনার মালিকানাধীন নয়, যেমন web.app যা Firebase-এর মালিকানাধীন।