Tiện ích bổ sung bảo mật

Trang này trình bày chi tiết các yêu cầu về bảo mật mà tiện ích bổ sung của bên thứ ba phải đáp ứng.

Quy định hạn chế về nguồn

Nguồn gốc là một URL có lược đồ (giao thức), máy chủ (miền) và cổng. Hai URL có cùng nguồn gốc khi chúng dùng chung cùng một lược đồ, máy chủ lưu trữ và cổng. Được phép sử dụng nguồn gốc phụ. Để biết thêm thông tin, hãy xem RFC 6454.

Những tài nguyên này có cùng nguồn gốc vì có cùng các thành phần lược đồ, máy chủ lưu trữ và cổng:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Các điều kiện ràng buộc sau đây sẽ được thực thi khi bạn làm việc với nguồn gốc:

  1. Tất cả origin được dùng trong hoạt động của tiện ích bổ sung đều phải sử dụng https làm giao thức.

  2. Bạn phải điền sẵn các nguồn mà tiện ích bổ sung của bạn đang sử dụng vào trường addOnOrigins trong tệp kê khai tiện ích bổ sung.

    Các mục trong trường addOnOrigins phải là danh sách các giá trị tương thích nguồn máy chủ lưu trữ CSP. Ví dụ: https://*.addon.example.com hoặc https://main-stage-addon.example.com:443. Đường dẫn tài nguyên không được phép.

    Danh sách này được dùng để:

  3. Nếu ứng dụng của bạn sử dụng chế độ điều hướng URL bên trong iframe, thì tất cả các nguồn đang được chuyển hướng đến phải được liệt kê trong trường addOnOrigins. Xin lưu ý rằng bạn được phép sử dụng miền con đại diện. Ví dụ: https://*.example.com. Tuy nhiên, bạn không nên sử dụng miền con ký tự đại diện với một miền mà bạn không sở hữu, chẳng hạn như web.app do Firebase sở hữu.