Дополнительная безопасность
Оптимизируйте свои подборки
Сохраняйте и классифицируйте контент в соответствии со своими настройками.
На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.
Ограничения по происхождению
Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют один и тот же источник, если они используют одну и ту же схему, хост и порт. Допускается использование подисточников. Подробнее см. RFC 6454 .
Эти ресурсы имеют одинаковое происхождение, поскольку имеют одинаковую схему, хост и компоненты порта:
-
https://www.example.com -
https://www.example.com:443 -
https://www.example.com/sidePanel.html
При работе с источниками применяются следующие ограничения:
Все источники, используемые в работе вашего дополнения, должны использовать https в качестве протокола.
Поле addOnOrigins в манифесте дополнения должно быть заполнено источниками, которые использует ваше дополнение.
Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источниками хостов CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.
Этот список используется для:
Задайте значение frame-src для фреймов, содержащих ваше приложение.
Проверьте URL-адреса, используемые вашим дополнением. Источник, используемый в следующих локалях, должен быть частью источников, указанных в поле addOnOrigins в манифесте:
Проверьте источник сайта, вызывающего метод exposeToMeetWhenScreensharing() .
Если ваше приложение использует навигацию по URL внутри iframe, все источники, на которые осуществляется переход, должны быть указаны в поле addOnOrigins . Обратите внимание, что поддомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать поддомены с подстановочными знаками для доменов, которым вы не владеете, например, web.app , который принадлежит Firebase.
Если не указано иное, контент на этой странице предоставляется по лицензии Creative Commons "С указанием авторства 4.0", а примеры кода – по лицензии Apache 2.0. Подробнее об этом написано в правилах сайта. Java – это зарегистрированный товарный знак корпорации Oracle и ее аффилированных лиц.
Последнее обновление: 2025-07-30 UTC.
[null,null,["Последнее обновление: 2025-07-30 UTC."],[],[],null,["# Add-on security\n\nThis page details the security requirements third-party add-ons\nhave to fulfill.\n\nOrigin restrictions\n-------------------\n\nAn origin is a URL with a scheme (protocol), host (domain), and port. Two URLs\nhave the same origin when they share the same scheme, host, and port.\nSub-origins are permitted. For more information, see [RFC\n6454](https://www.ietf.org/rfc/rfc6454.txt).\n\nThese resources share the same origin as they have the same scheme, host, and\nport components:\n\n- `https://www.example.com`\n- `https://www.example.com:443`\n- `https://www.example.com/sidePanel.html`\n\nThe following constraints are enforced when working with origins:\n\n1. All [origins](/workspace/meet/add-ons/guides/overview#origin) used in the operation of\n your add-on must use `https` as the protocol.\n\n2. The `addOnOrigins` field in the [add-on\n manifest](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment) must be\n populated with the origins that your add-on is\n using.\n\n The entries in the `addOnOrigins` field must be a list of [CSP host\n source](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#host-source)\n compatible values. For example `https://*.addon.example.com` or\n `https://main-stage-addon.example.com:443`. [Resource\n paths](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/Web_mechanics/What_is_a_URL#path_to_resource)\n are not allowed.\n\n This list is used to:\n - Set the\n [`frame-src`](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src)\n value of the iframes containing your application.\n\n - Validate the URLs that your add-on is using.\n The origin used in the following locales must be part of the origins\n listed in the `addOnOrigins` field in the manifest:\n\n - The `sidePanelUri` field in the add-on\n manifest. For more information, see\n [Deploy a Meet add-on](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`AddonScreenshareInfo`](/workspace/meet/add-ons/reference/websdk/screenshare_api.addonscreenshareinfo)\n object. For more information, see\n [Promote an add-on to users through screen\n sharing](/workspace/meet/add-ons/guides/promote#screen_sharing).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`ActivityStartingState`](/workspace/meet/add-ons/reference/websdk/addon_sdk.activitystartingstate).\n For more information on activity starting state, see [Collaborate using a Meet add-on](/workspace/meet/add-ons/guides/collaborate-in-the-add-on).\n\n - Validate the origin of the site that's calling the\n [`exposeToMeetWhenScreensharing()`](/workspace/meet/add-ons/reference/websdk/screenshare_api.meetaddonscreenshare.exposetomeetwhenscreensharing)\n method.\n\n3. If your application uses URL navigation inside the iframe, all origins that\n are being navigated to must be listed in the `addOnOrigins` field. Note that\n wildcard subdomains are permitted. For example,\n `https://*.example.com`. However, we strongly advise against using wildcard\n subdomains with a domain you don't own, such as `web.app` which is owned by\n Firebase."]]
