此页面由 Cloud Translation API 翻译。

插件安全性

本页详细介绍了第三方插件必须满足的安全要求。

来源限制

来源是指包含架构（协议）、主机（网域）和端口的网址。如果两个网址具有相同的架构、主机和端口，则它们具有相同的来源。允许使用子来源。如需了解详情，请参阅 RFC 6454。

这些资源具有相同的架构、主机和端口组件，因此具有相同的来源：

使用来源时，系统会强制执行以下限制：

插件运行中使用的所有来源都必须使用 https 作为协议。
加购项清单中的 addOnOrigins 字段必须填充加购项正在使用的来源。

addOnOrigins 字段中的条目必须是与 CSP 主机源兼容的值的列表。例如 https://*.addon.example.com 或 https://main-stage-addon.example.com:443。不允许使用资源路径。

此列表用于：
- 设置包含应用的 iframe 的 frame-src 值。
- 验证您的插件正在使用的网址。以下语言区域中使用的来源必须是清单中 addOnOrigins 字段内列出的来源：
  - 插件清单中的 sidePanelUri 字段。如需了解详情，请参阅部署 Meet 加载项。
  - AddonScreenshareInfo 对象中的 sidePanelUrl 和 mainStageUrl 属性。如需了解详情，请参阅通过屏幕共享向用户推广插件。
  - ActivityStartingState 中的 sidePanelUrl 和 mainStageUrl 属性。如需详细了解活动启动状态，请参阅使用 Meet 插件进行协作。
- 验证调用 exposeToMeetWhenScreensharing() 方法的网站的来源。
如果您的应用在 iframe 内使用网址导航，则所有导航到的来源都必须在 addOnOrigins 字段中列出。请注意，系统允许使用通配符子网域。例如 https://*.example.com。不过，我们强烈建议您不要在不属于自己的网域（例如 web.app，该网域归 Firebase 所有）中使用通配符子网域。