این صفحه الزامات امنیتی را که افزونه های شخص ثالث باید انجام دهند، شرح می دهد.
محدودیت های مبدا
مبدا یک URL با طرح (پروتکل)، میزبان (دامنه) و پورت است. دو URL زمانی که طرح، میزبان و پورت یکسانی را به اشتراک می گذارند، منشأ یکسانی دارند. منابع فرعی مجاز هستند. برای اطلاعات بیشتر، RFC 6454 را ببینید.
این منابع منشا یکسانی دارند زیرا دارای اجزای طرح، میزبان و پورت یکسان هستند:
-
https://www.example.com -
https://www.example.com:443 -
https://www.example.com/sidePanel.html
محدودیت های زیر هنگام کار با مبدا اعمال می شود:
تمام منابع مورد استفاده در عملکرد افزونه شما باید
httpsبه عنوان پروتکل استفاده کنند.قسمت
addOnOriginsدر مانیفست الحاقی باید با مبداهایی که افزونه شما استفاده میکند پر شود.ورودیهای فیلد
addOnOriginsباید فهرستی از مقادیر سازگار منبع میزبان CSP باشد. برای مثالhttps://*.addon.example.comیاhttps://main-stage-addon.example.com:443. مسیرهای منبع مجاز نیستند.این لیست برای موارد زیر استفاده می شود:
مقدار
frame-srciframe های حاوی برنامه خود را تنظیم کنید.URL هایی را که افزونه شما استفاده می کند اعتبار سنجی کنید. مبدا استفاده شده در زبان های زیر باید بخشی از مبداهای فهرست شده در فیلد
addOnOriginsدر مانیفست باشد:فیلد
sidePanelUriدر مانیفست افزونه. برای اطلاعات بیشتر، به استقرار افزونه Meet مراجعه کنید.ویژگی های
sidePanelUrlوmainStageUrlدر شیAddonScreenshareInfo. برای اطلاعات بیشتر، به تبلیغ یک افزونه به کاربران از طریق اشتراکگذاری صفحه مراجعه کنید.ویژگی های
sidePanelUrlوmainStageUrlدرActivityStartingState. برای اطلاعات بیشتر در مورد وضعیت شروع فعالیت، به همکاری با استفاده از افزونه Meet مراجعه کنید.
مبدأ سایتی را که متد
exposeToMeetWhenScreensharing()را فراخوانی میکند، تأیید کنید.
اگر برنامه شما از پیمایش URL در داخل iframe استفاده می کند، همه مبداهایی که به آنها پیمایش می شوند باید در قسمت
addOnOriginsفهرست شوند. توجه داشته باشید که زیر دامنه های wildcard مجاز هستند. به عنوان مثال،https://*.example.com. با این حال، اکیداً توصیه میکنیم از زیردامنههای wildcard با دامنهای که شما مالک آن نیستید استفاده نکنید، مانندweb.appکه متعلق به Firebase است.