Sicurezza aggiuntiva

Questa pagina descrive in dettaglio i requisiti di sicurezza che i componenti aggiuntivi di terze parti devono soddisfare.

Limitazioni relative all'origine

Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, host e porta. Sono consentite le origini secondarie. Per ulteriori informazioni, consulta la RFC 6454.

Queste risorse condividono la stessa origine perché hanno gli stessi componenti di schema, host e porta:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Quando lavori con le origini, vengono applicati i seguenti vincoli:

1. Tutte le origini utilizzate nel funzionamento del tuo componente aggiuntivo devono utilizzare https come protocollo.

2. Il campo addOnOrigins nel manifest del componente aggiuntivo deve essere compilato con le origini utilizzate dal componente aggiuntivo.

   Le voci nel campo addOnOrigins devono essere un elenco di valori compatibili con l'origine host CSP. Ad esempio, https://*.addon.example.com o https://main-stage-addon.example.com:443. I percorsi delle risorse non sono consentiti.

   Questo elenco viene utilizzato per:

   • Imposta il valore frame-src degli iframe contenenti la tua applicazione.

   • Convalida gli URL utilizzati dal componente aggiuntivo. L'origine utilizzata nelle seguenti impostazioni internazionali deve far parte delle origini elencate nel campo addOnOrigins del manifest:

     • Il campo sidePanelUri nel file manifest del componente aggiuntivo. Per saperne di più, consulta Implementare un componente aggiuntivo di Meet.

     • Le proprietà sidePanelUrl e mainStageUrl nell'oggetto AddonScreenshareInfo. Per saperne di più, vedi Promuovere un componente aggiuntivo agli utenti tramite la condivisione dello schermo.

     • Le proprietà sidePanelUrl e mainStageUrl in ActivityStartingState. Per maggiori informazioni sullo stato iniziale dell'attività, vedi Collaborare utilizzando un componente aggiuntivo di Meet.

   • Convalida l'origine del sito che chiama il metodo exposeToMeetWhenScreensharing().

3. Se la tua applicazione utilizza la navigazione tramite URL all'interno dell'iframe, tutte le origini a cui viene eseguita la navigazione devono essere elencate nel campo addOnOrigins. Tieni presente che i sottodomini jolly sono consentiti. Ad esempio, https://*.example.com. Tuttavia, sconsigliamo vivamente di utilizzare sottodomini jolly con un dominio che non ti appartiene, ad esempio web.app, di proprietà di Firebase.