Keamanan add-on

Halaman ini menjelaskan persyaratan keamanan yang harus dipenuhi oleh add-on pihak ketiga.

Batasan asal

Origin adalah URL dengan skema (protokol), host (domain), dan port. Dua URL memiliki origin yang sama jika keduanya memiliki skema, host, dan port yang sama. Sub-origin diizinkan. Untuk mengetahui informasi selengkapnya, lihat RFC 6454.

Resource ini memiliki origin yang sama karena memiliki komponen skema, host, dan port yang sama:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Batasan berikut diterapkan saat bekerja dengan origin:

  1. Semua origin yang digunakan dalam pengoperasian add-on Anda harus menggunakan https sebagai protokol.

  2. Kolom addOnOrigins di manifes add-on harus diisi dengan asal yang digunakan add-on Anda.

    Entri di kolom addOnOrigins harus berupa daftar nilai yang kompatibel dengan sumber host CSP. Misalnya, https://*.addon.example.com atau https://main-stage-addon.example.com:443. Jalur resource tidak diizinkan.

    Daftar ini digunakan untuk:

  3. Jika aplikasi Anda menggunakan navigasi URL di dalam iframe, semua origin yang dituju harus dicantumkan di kolom addOnOrigins. Perhatikan bahwa subdomain karakter pengganti diizinkan. Misalnya, https://*.example.com. Namun, sebaiknya jangan gunakan subdomain wildcard dengan domain yang bukan milik Anda, seperti web.app yang dimiliki oleh Firebase.