این صفحه جزئیات الزامات امنیتی که افزونههای شخص ثالث باید برآورده کنند را شرح میدهد.
محدودیتهای مبدا
یک مبدأ، یک URL با طرح (پروتکل)، میزبان (دامنه) و پورت است. دو URL زمانی که طرح، میزبان و پورت یکسانی داشته باشند، مبدأ یکسانی دارند. زیرمبدأها مجاز هستند. برای اطلاعات بیشتر، به RFC 6454 مراجعه کنید.
این منابع منشأ یکسانی دارند زیرا اجزای طرح، میزبان و پورت یکسانی دارند:
-
https://www.example.com -
https://www.example.com:443 -
https://www.example.com/sidePanel.html
هنگام کار با origins، محدودیتهای زیر اعمال میشوند:
تمام منابع مورد استفاده در عملکرد افزونه شما باید از پروتکل
httpsاستفاده کنند.فیلد
addOnOriginsدر مانیفست افزونه باید با origin هایی که افزونه شما از آنها استفاده می کند، پر شود.ورودیهای فیلد
addOnOriginsباید فهرستی از مقادیر سازگار با منبع میزبان CSP باشند. برای مثالhttps://*.addon.example.comیاhttps://main-stage-addon.example.com:443. مسیرهای منبع مجاز نیستند.این لیست برای موارد زیر استفاده میشود:
مقدار
frame-srcمربوط به iframe های حاوی برنامه خود را تنظیم کنید.URL هایی را که افزونه شما استفاده میکند، اعتبارسنجی کنید. مبدا مورد استفاده در زبانهای زیر باید بخشی از مبداهای ذکر شده در فیلد
addOnOriginsدر مانیفست باشد:فیلد
sidePanelUriدر مانیفست افزونه. برای اطلاعات بیشتر، به «استقرار افزونه Meet» مراجعه کنید.ویژگیهای
sidePanelUrlوmainStageUrlدر شیءAddonScreenshareInfo. برای اطلاعات بیشتر، به بخش «تبلیغ یک افزونه برای کاربران از طریق اشتراکگذاری صفحه» مراجعه کنید.ویژگیهای
sidePanelUrlوmainStageUrlدرActivityStartingState. برای اطلاعات بیشتر در مورد وضعیت شروع فعالیت، به بخش همکاری با استفاده از افزونه Meet مراجعه کنید.
مبدا سایتی که متد
exposeToMeetWhenScreensharing()را فراخوانی میکند، اعتبارسنجی کنید.
اگر برنامه شما از پیمایش URL در داخل iframe استفاده میکند، تمام مبدأهایی که به آنها پیمایش میشود باید در فیلد
addOnOriginsفهرست شوند. توجه داشته باشید که زیر دامنههای wildcard مجاز هستند. به عنوان مثال،https://*.example.com. با این حال، اکیداً توصیه میکنیم از زیر دامنههای wildcard با دامنهای که متعلق به شما نیست، مانندweb.appکه متعلق به Firebase است، استفاده نکنید.