ऐड-ऑन सुरक्षा

इस पेज पर, तीसरे पक्ष के ऐड-ऑन के लिए सुरक्षा से जुड़ी ज़रूरी शर्तों के बारे में बताया गया है.

मूल देश से जुड़ी पाबंदियां

ऑरिजिन, स्कीम (प्रोटोकॉल), होस्ट (डोमेन), और पोर्ट वाला यूआरएल होता है. दो यूआरएल का ऑरिजिन एक जैसा तब होता है, जब उनकी स्कीम, होस्ट, और पोर्ट एक जैसे हों. सब-ऑरिजिन की अनुमति है. ज़्यादा जानकारी के लिए, आरएफ़सी 6454 देखें.

इन संसाधनों का ऑरिजिन एक जैसा है, क्योंकि इनकी स्कीम, होस्ट, और पोर्ट कॉम्पोनेंट एक जैसे हैं:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

ऑरिजिन के साथ काम करते समय, ये पाबंदियां लागू होती हैं:

  1. आपके ऐड-ऑन को चलाने के लिए इस्तेमाल किए गए सभी ओरिजन में, प्रोटोकॉल के तौर पर https का इस्तेमाल करना ज़रूरी है.

  2. ऐड-ऑन मेनिफ़ेस्ट में मौजूद addOnOrigins फ़ील्ड में, उन ऑरिजिन की जानकारी होनी चाहिए जिनका इस्तेमाल आपका ऐड-ऑन कर रहा है.

    addOnOrigins फ़ील्ड में मौजूद एंट्री, CSP होस्ट सोर्स के साथ काम करने वाली वैल्यू की सूची होनी चाहिए. उदाहरण के लिए, https://*.addon.example.com या https://main-stage-addon.example.com:443. संसाधन पाथ इस्तेमाल करने की अनुमति नहीं है.

    इस सूची का इस्तेमाल इन कामों के लिए किया जाता है:

  3. अगर आपका ऐप्लिकेशन, iframe में यूआरएल नेविगेशन का इस्तेमाल करता है, तो जिन सभी ऑरिजिन पर नेविगेट किया जा रहा है उन्हें addOnOrigins फ़ील्ड में शामिल किया जाना चाहिए. ध्यान दें कि वाइल्डकार्ड सबडोमेन की अनुमति है. उदाहरण के लिए, https://*.example.com. हालांकि, हमारा सुझाव है कि आप ऐसे डोमेन के साथ वाइल्डकार्ड सबडोमेन का इस्तेमाल न करें जिसका मालिकाना हक आपके पास नहीं है. जैसे, web.app का मालिकाना हक Firebase के पास है.