Sécurité complémentaire
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page décrit les exigences de sécurité que les modules complémentaires tiers doivent respecter.
Restrictions d'origine
Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, le même hôte et le même port.
Les sous-origines sont autorisées. Pour en savoir plus, consultez la RFC 6454.
Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port :
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
Les contraintes suivantes s'appliquent lorsque vous travaillez avec des origines :
Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser https comme protocole.
Le champ addOnOrigins du fichier manifeste du module complémentaire doit être renseigné avec les origines utilisées par votre module complémentaire.
Les entrées du champ addOnOrigins doivent être une liste de valeurs compatibles avec la source hôte CSP. Par exemple, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Les chemins de ressources ne sont pas autorisés.
Cette liste est utilisée pour :
Définissez la valeur frame-src des iFrames contenant votre application.
Validez les URL utilisées par votre module complémentaire.
L'origine utilisée dans les paramètres régionaux suivants doit faire partie des origines listées dans le champ addOnOrigins du fichier manifeste :
Validez l'origine du site qui appelle la méthode exposeToMeetWhenScreensharing().
Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles la navigation est effectuée doivent être listées dans le champ addOnOrigins. Notez que les sous-domaines avec caractère générique sont autorisés. Exemple : https://*.example.com. Toutefois, nous vous déconseillons vivement d'utiliser des sous-domaines génériques avec un domaine qui ne vous appartient pas, comme web.app, qui appartient à Firebase.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/01 (UTC).
[null,null,["Dernière mise à jour le 2025/08/01 (UTC)."],[],[],null,["# Add-on security\n\nThis page details the security requirements third-party add-ons\nhave to fulfill.\n\nOrigin restrictions\n-------------------\n\nAn origin is a URL with a scheme (protocol), host (domain), and port. Two URLs\nhave the same origin when they share the same scheme, host, and port.\nSub-origins are permitted. For more information, see [RFC\n6454](https://www.ietf.org/rfc/rfc6454.txt).\n\nThese resources share the same origin as they have the same scheme, host, and\nport components:\n\n- `https://www.example.com`\n- `https://www.example.com:443`\n- `https://www.example.com/sidePanel.html`\n\nThe following constraints are enforced when working with origins:\n\n1. All [origins](/workspace/meet/add-ons/guides/overview#origin) used in the operation of\n your add-on must use `https` as the protocol.\n\n2. The `addOnOrigins` field in the [add-on\n manifest](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment) must be\n populated with the origins that your add-on is\n using.\n\n The entries in the `addOnOrigins` field must be a list of [CSP host\n source](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#host-source)\n compatible values. For example `https://*.addon.example.com` or\n `https://main-stage-addon.example.com:443`. [Resource\n paths](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/Web_mechanics/What_is_a_URL#path_to_resource)\n are not allowed.\n\n This list is used to:\n - Set the\n [`frame-src`](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src)\n value of the iframes containing your application.\n\n - Validate the URLs that your add-on is using.\n The origin used in the following locales must be part of the origins\n listed in the `addOnOrigins` field in the manifest:\n\n - The `sidePanelUri` field in the add-on\n manifest. For more information, see\n [Deploy a Meet add-on](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`AddonScreenshareInfo`](/workspace/meet/add-ons/reference/websdk/screenshare_api.addonscreenshareinfo)\n object. For more information, see\n [Promote an add-on to users through screen\n sharing](/workspace/meet/add-ons/guides/promote#screen_sharing).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`ActivityStartingState`](/workspace/meet/add-ons/reference/websdk/addon_sdk.activitystartingstate).\n For more information on activity starting state, see [Collaborate using a Meet add-on](/workspace/meet/add-ons/guides/collaborate-in-the-add-on).\n\n - Validate the origin of the site that's calling the\n [`exposeToMeetWhenScreensharing()`](/workspace/meet/add-ons/reference/websdk/screenshare_api.meetaddonscreenshare.exposetomeetwhenscreensharing)\n method.\n\n3. If your application uses URL navigation inside the iframe, all origins that\n are being navigated to must be listed in the `addOnOrigins` field. Note that\n wildcard subdomains are permitted. For example,\n `https://*.example.com`. However, we strongly advise against using wildcard\n subdomains with a domain you don't own, such as `web.app` which is owned by\n Firebase."]]
