Segurança de complementos
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.
Restrições de origem
Uma origem é um URL com um esquema (protocolo), host (domínio) e porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta.
Suborigens são permitidas. Para mais informações, consulte a RFC
6454 (em inglês).
Esses recursos compartilham a mesma origem porque têm os mesmos componentes de esquema, host e porta:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
As seguintes restrições são aplicadas ao trabalhar com origens:
Todas as origens usadas na operação do
complemento precisam usar https como protocolo.
O campo addOnOrigins no manifesto do
complemento precisa ser
preenchido com as origens que o complemento está
usando.
As entradas no campo addOnOrigins precisam ser uma lista de valores compatíveis com fonte de host CSP. Por exemplo, https://*.addon.example.com ou
https://main-stage-addon.example.com:443. Não é permitido usar caminhos de recursos.
Essa lista é usada para:
Defina o valor frame-src dos iframes que contêm seu aplicativo.
Valide os URLs que seu complemento está usando.
A origem usada nos seguintes locais precisa fazer parte das origens
listadas no campo addOnOrigins do manifesto:
Valide a origem do site que está chamando o método
exposeToMeetWhenScreensharing().
Se o aplicativo usar a navegação por URL dentro do iframe, todas as origens para as quais
está sendo feita a navegação precisam ser listadas no campo addOnOrigins. Os subdomínios com caracteres curinga são permitidos. Por exemplo, https://*.example.com. No entanto, não recomendamos o uso de subdomínios
curinga com um domínio que não é seu, como web.app, que pertence ao
Firebase.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-01 UTC.
[null,null,["Última atualização 2025-08-01 UTC."],[],[],null,["# Add-on security\n\nThis page details the security requirements third-party add-ons\nhave to fulfill.\n\nOrigin restrictions\n-------------------\n\nAn origin is a URL with a scheme (protocol), host (domain), and port. Two URLs\nhave the same origin when they share the same scheme, host, and port.\nSub-origins are permitted. For more information, see [RFC\n6454](https://www.ietf.org/rfc/rfc6454.txt).\n\nThese resources share the same origin as they have the same scheme, host, and\nport components:\n\n- `https://www.example.com`\n- `https://www.example.com:443`\n- `https://www.example.com/sidePanel.html`\n\nThe following constraints are enforced when working with origins:\n\n1. All [origins](/workspace/meet/add-ons/guides/overview#origin) used in the operation of\n your add-on must use `https` as the protocol.\n\n2. The `addOnOrigins` field in the [add-on\n manifest](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment) must be\n populated with the origins that your add-on is\n using.\n\n The entries in the `addOnOrigins` field must be a list of [CSP host\n source](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#host-source)\n compatible values. For example `https://*.addon.example.com` or\n `https://main-stage-addon.example.com:443`. [Resource\n paths](https://developer.mozilla.org/en-US/docs/Learn/Common_questions/Web_mechanics/What_is_a_URL#path_to_resource)\n are not allowed.\n\n This list is used to:\n - Set the\n [`frame-src`](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src)\n value of the iframes containing your application.\n\n - Validate the URLs that your add-on is using.\n The origin used in the following locales must be part of the origins\n listed in the `addOnOrigins` field in the manifest:\n\n - The `sidePanelUri` field in the add-on\n manifest. For more information, see\n [Deploy a Meet add-on](/workspace/meet/add-ons/guides/deploy-add-on#create-deployment).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`AddonScreenshareInfo`](/workspace/meet/add-ons/reference/websdk/screenshare_api.addonscreenshareinfo)\n object. For more information, see\n [Promote an add-on to users through screen\n sharing](/workspace/meet/add-ons/guides/promote#screen_sharing).\n\n - The `sidePanelUrl` and `mainStageUrl` properties in the\n [`ActivityStartingState`](/workspace/meet/add-ons/reference/websdk/addon_sdk.activitystartingstate).\n For more information on activity starting state, see [Collaborate using a Meet add-on](/workspace/meet/add-ons/guides/collaborate-in-the-add-on).\n\n - Validate the origin of the site that's calling the\n [`exposeToMeetWhenScreensharing()`](/workspace/meet/add-ons/reference/websdk/screenshare_api.meetaddonscreenshare.exposetomeetwhenscreensharing)\n method.\n\n3. If your application uses URL navigation inside the iframe, all origins that\n are being navigated to must be listed in the `addOnOrigins` field. Note that\n wildcard subdomains are permitted. For example,\n `https://*.example.com`. However, we strongly advise against using wildcard\n subdomains with a domain you don't own, such as `web.app` which is owned by\n Firebase."]]
