אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה שעל תוספים של צד שלישי לעמוד בהן.

הגבלות על מקור הנתונים

מקור הוא כתובת URL עם סכמה (פרוטוקול), מארח (דומיין) ויציאה. שתי כתובות URL הן באותו מקור אם הן חולקות את אותה סכמה, מארח ויציאה. מותר להשתמש במקורות משנה. מידע נוסף זמין ב-RFC 6454.

המשאבים האלה משותפים לאותו מקור כי יש להם את אותם רכיבי סכמה, מארח ויציאה:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

כשעובדים עם מקורות, המגבלות הבאות נאכפות:

  1. כל המקורות שמשמשים בתפעול התוסף חייבים להשתמש ב-https כפרוטוקול.

  2. צריך לאכלס את השדה addOnOrigins במניפסט של התוסף במקורות שבהם התוסף משתמש.

    הרשומות בשדה addOnOrigins חייבות להיות רשימה של ערכים תואמים למקור מארח של CSP. לדוגמה https://*.addon.example.com או https://main-stage-addon.example.com:443. אסור להשתמש בנתיבי משאבים.

    הרשימה הזו משמשת לפעולות הבאות:

  3. אם האפליקציה משתמשת בניווט לפי כתובות URL בתוך ה-iframe, כל המקורות שאליהם מתבצע הניווט חייבים להופיע בשדה addOnOrigins. חשוב לזכור שאפשר להשתמש בתת-דומיינים עם תווים כלליים. לדוגמה, https://*.example.com. עם זאת, מומלץ מאוד לא להשתמש בתת-דומיינים עם תווים כלליים בדומיין שאינו בבעלותכם, כמו web.app שבבעלות Firebase.