Add-on-Sicherheit
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden die Sicherheitsanforderungen beschrieben, die Add-ons von Drittanbietern erfüllen müssen.
Einschränkungen für den Ursprung
Ein Ursprung ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs haben denselben Ursprung, wenn sie dasselbe Schema, denselben Host und denselben Port verwenden.
Untergeordnete Ursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454.
Diese Ressourcen haben denselben Ursprung, da sie dieselben Schema-, Host- und Portkomponenten haben:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
Bei der Arbeit mit Ursprüngen gelten die folgenden Einschränkungen:
Alle Ursprünge, die für den Betrieb Ihres Add-ons verwendet werden, müssen https als Protokoll verwenden.
Das Feld addOnOrigins im Add-on-Manifest muss mit den Quellen ausgefüllt werden, die von Ihrem Add-on verwendet werden.
Die Einträge im Feld addOnOrigins müssen eine Liste von Werten sein, die mit CSP-Hostquellen kompatibel sind. Beispiel: https://*.addon.example.com oder https://main-stage-addon.example.com:443. Ressourcenpfade sind nicht zulässig.
Diese Liste wird für Folgendes verwendet:
Legen Sie den Wert frame-src der iFrames fest, die Ihre Anwendung enthalten.
Prüfen Sie die URLs, die von Ihrem Add-on verwendet werden.
Der Ursprung, der in den folgenden Gebietsschemas verwendet wird, muss Teil der Ursprünge sein, die im Manifest im Feld addOnOrigins aufgeführt sind:
Validieren Sie den Ursprung der Website, die die Methode exposeToMeetWhenScreensharing() aufruft.
Wenn in Ihrer Anwendung die URL-Navigation im iFrame verwendet wird, müssen alle Ursprünge, zu denen navigiert wird, im Feld addOnOrigins aufgeführt werden. Platzhalter-Subdomains sind zulässig. Beispiel: https://*.example.com Wir raten jedoch dringend davon ab, Platzhalter-Subdomains mit einer Domain zu verwenden, die Ihnen nicht gehört, z. B. web.app, die Firebase gehört.
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-08-01 (UTC).
[null,null,["Zuletzt aktualisiert: 2025-08-01 (UTC)."],[],[],null,["# Add-on security\n\nThis page details the security requirements third-party add-ons\nhave to fulfill.\n\nOrigin restrictions\n-------------------\n\nAn origin is a URL with a scheme (protocol), host (domain), and port. Two URLs\nhave the same origin when they share the same scheme, host, and port.\nSub-origins are permitted. For more information, see [RFC\n6454](https://www.ietf.org/rfc/rfc6454.txt).\n\nThese resources share the same origin as they have the same scheme, host, and\nport components:\n\n- `https://www.example.com`\n- `https://www.example.com:443`\n- `https://www.example.com/sidePanel.html`\n\nThe following constraints are enforced when working with origins:\n\n1. All [origins](/workspace/meet/add-ons/guides/overview#origin) used in the operation of\n your add-on must use `https` as the protocol.\n\n2. The `addOnOrigins` field in the [add-on\n manifest](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment) must be\n populated with the origins that your add-on is\n using.\n\n The entries in the `addOnOrigins` field must be a list of [CSP host\n source](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#host-source)\n compatible values. For example `https://*.addon.example.com` or\n `https://main-stage-addon.example.com:443`. [Resource\n paths](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/Web_mechanics/What_is_a_URL#path_to_resource)\n are not allowed.\n\n This list is used to:\n - Set the\n [`frame-src`](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src)\n value of the iframes containing your application.\n\n - Validate the URLs that your add-on is using.\n The origin used in the following locales must be part of the origins\n listed in the `addOnOrigins` field in the manifest:\n\n - The `sidePanelUri` field in the add-on\n manifest. For more information, see\n [Deploy a Meet add-on](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`AddonScreenshareInfo`](/workspace/meet/add-ons/reference/websdk/screenshare_api.addonscreenshareinfo)\n object. For more information, see\n [Promote an add-on to users through screen\n sharing](/workspace/meet/add-ons/guides/promote#screen_sharing).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`ActivityStartingState`](/workspace/meet/add-ons/reference/websdk/addon_sdk.activitystartingstate).\n For more information on activity starting state, see [Collaborate using a Meet add-on](/workspace/meet/add-ons/guides/collaborate-in-the-add-on).\n\n - Validate the origin of the site that's calling the\n [`exposeToMeetWhenScreensharing()`](/workspace/meet/add-ons/reference/websdk/screenshare_api.meetaddonscreenshare.exposetomeetwhenscreensharing)\n method.\n\n3. If your application uses URL navigation inside the iframe, all origins that\n are being navigated to must be listed in the `addOnOrigins` field. Note that\n wildcard subdomains are permitted. For example,\n `https://*.example.com`. However, we strongly advise against using wildcard\n subdomains with a domain you don't own, such as `web.app` which is owned by\n Firebase."]]
