附加安全性功能

本頁面詳細說明第三方外掛程式必須符合的安全規定。

來源限制

來源是指含有配置 (通訊協定)、主機 (網域) 和通訊埠的網址。如果兩個網址的配置、主機和通訊埠相同，就屬於同一來源。允許使用子來源。詳情請參閱 RFC 6454。

這些資源具有相同的配置、主機和通訊埠元件，因此屬於同一來源：

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

使用來源時，系統會強制執行下列限制：

1. 外掛程式運作時使用的所有來源都必須使用 https 做為通訊協定。

2. 外掛程式資訊清單中的 addOnOrigins 欄位必須填入外掛程式使用的來源。

   addOnOrigins 欄位中的項目必須是相容的 CSP 主機來源值清單。例如 https://*.addon.example.com 或 https://main-stage-addon.example.com:443。不允許使用資源路徑。

   這份清單可用於：

   • 設定含有應用程式的 iframe 的 frame-src 值。

   • 驗證外掛程式使用的網址。 下列語言代碼中使用的來源必須是資訊清單 addOnOrigins 欄位中列出的來源：

     • 外掛程式資訊清單中的 sidePanelUri 欄位。詳情請參閱部署 Meet 外掛程式。

     • AddonScreenshareInfo 物件中的 sidePanelUrl 和 mainStageUrl 屬性。詳情請參閱「透過分享畫面向使用者宣傳外掛程式」。

     • ActivityStartingState 中的 sidePanelUrl 和 mainStageUrl 屬性。如要進一步瞭解活動的起始狀態，請參閱「 使用 Meet 外掛程式協作」。

   • 驗證呼叫 exposeToMeetWhenScreensharing() 方法的網站來源。

3. 如果應用程式在 iframe 內使用網址導覽，則所有導覽的來源都必須列在 addOnOrigins 欄位中。請注意，系統允許使用萬用字元子網域。例如：https://*.example.com。不過，我們強烈建議不要使用您不擁有的網域 (例如 Firebase 擁有的 web.app) 搭配萬用字元子網域。