אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה שתוספים של צד שלישי צריכים למלא.

הגבלות מקור

מקור הוא כתובת URL עם סכימה (פרוטוקול), מארח (דומיין) ויציאה. לשתי כתובות URL יש מקור זהה אם הן חולקות את אותה סכימה, אותו מארח ויציאה. ניתן להעלות מקורות משנה. למידע נוסף, קראו את המאמר RFC 6454.

למשאבים האלה יש את אותו מקור, שיש להם את אותה סכימה, מארח ורכיבי יציאה:

• https://example.com
• https://example.com:80
• https://*.example.com

המגבלות הבאות נאכפות בעבודה עם מקורות:

1. כל המקורות שמשמשים להפעלת התוסף חייבים להשתמש ב-https כפרוטוקול.

2. השדה addOnOrigins במניפסט של התוסף חייב להיות מאוכלס עם המקורות שבהם התוסף משתמש.

   הרשומות בשדה addOnOrigins חייבות להיות רשימה של ערכים תואמים במקור המארח ב-CSP. לדוגמה https://*.addon.example.com או https://main-stage-addon.example.com:443.

   הרשימה הזאת משמשת לדברים הבאים:

   • מגדירים את הערך frame-src של ה-iframes שמכילים את האפליקציה.

   • מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שנעשה בו שימוש בלוקאלים הבאים חייב להיות חלק מהמקורות שרשומים בשדה addOnOrigins במניפסט:

     • השדה sidePanelUri במניפסט של התוסף. תוכלו לקרוא מידע נוסף במאמר איך יוצרים תוסף ל-Meet.

     • sidePanelUrl ו-mainStageUrl באובייקט AddonScreenshareInfo. מידע נוסף זמין במאמר קידום תוסף למשתמשים באמצעות שיתוף המסך.

     • sidePanelUrl ו-mainStageUrl ב-CollaborationStartingState. מידע נוסף זמין במאמר שימוש במצב ההתחלה של שיתוף הפעולה.

   • מאמתים את מקור האתר שמבצע קריאה לשיטה MeetAddonScreenshare.exposeToMeetWhenScreensharing.

3. אם באפליקציה נעשה שימוש בניווט בכתובות URL בתוך ה-iframe, כל המקורות שאליהם מנווטים חייבים להיות רשומים בשדה addOnOrigins.