בדף הזה מפורטות דרישות האבטחה שעל תוספים של צד שלישי לעמוד בהן.
הגבלות על מקור הנתונים
מקור הוא כתובת URL עם סכמה (פרוטוקול), מארח (דומיין) ויציאה. שתי כתובות URL הן באותו מקור אם הן חולקות את אותה סכמה, מארח ויציאה. מותר להשתמש במקורות משנה. מידע נוסף זמין ב-RFC 6454.
המשאבים האלה משותפים לאותו מקור כי יש להם את אותם רכיבי סכמה, מארח ויציאה:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
כשעובדים עם מקורות, המגבלות הבאות נאכפות:
כל המקורות שמשמשים בתפעול התוסף חייבים להשתמש ב-
https
כפרוטוקול.צריך לאכלס את השדה
addOnOrigins
במניפסט של התוסף במקורות שבהם התוסף משתמש.הרשומות בשדה
addOnOrigins
חייבות להיות רשימה של ערכים תואמים למקור מארח של CSP. לדוגמהhttps://*.addon.example.com
אוhttps://main-stage-addon.example.com:443
. אסור להשתמש בנתיבי משאבים.הרשימה הזו משמשת לפעולות הבאות:
מגדירים את הערך של
frame-src
בתגי iframe שמכילים את האפליקציה.מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שמשמש בשפנים הבאות חייב להיות חלק מהמקורות שמפורטים בשדה
addOnOrigins
במניפסט:השדה
sidePanelUri
במניפסט של התוסף. מידע נוסף זמין במאמר פריסה של תוסף ל-Meet.המאפיינים
sidePanelUrl
ו-mainStageUrl
באובייקטAddonScreenshareInfo
. מידע נוסף זמין במאמר קידום תוסף למשתמשים באמצעות שיתוף מסך.המאפיינים
sidePanelUrl
ו-mainStageUrl
ב-ActivityStartingState
. מידע נוסף על מצב הפעילות בזמן ההתחלה זמין במאמר שיתוף פעולה באמצעות תוסף ל-Meet.
מוודאים שהמקור של האתר שמפעיל את השיטה
exposeToMeetWhenScreensharing()
הוא אמין.
אם האפליקציה משתמשת בניווט לפי כתובות URL בתוך ה-iframe, כל המקורות שאליהם מתבצע הניווט חייבים להופיע בשדה
addOnOrigins
. חשוב לזכור שאפשר להשתמש בתת-דומיינים עם תווים כלליים. לדוגמה,https://*.example.com
. עם זאת, מומלץ מאוד לא להשתמש בתת-דומיינים עם תווים כלליים בדומיין שאינו בבעלותכם, כמוweb.app
שבבעלות Firebase.