In questa pagina vengono descritti i requisiti di sicurezza dei componenti aggiuntivi di terze parti devono soddisfare.
Limitazioni relative all'origine
Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, host e porta. Sono consentite le origini secondarie. Per ulteriori informazioni, consulta RFC 6454
Queste risorse condividono la stessa origine perché hanno lo stesso schema, host componenti della porta:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Quando si lavora con le origini, vengono applicati i seguenti vincoli:
Tutte le origini utilizzate nell'operazione di il componente aggiuntivo deve utilizzare
https
come protocollo.Il campo
addOnOrigins
nel componente aggiuntivo il file manifest deve essere con le origini del componente aggiuntivo che utilizzano.Le voci nel campo
addOnOrigins
devono essere un elenco di host CSP fonte compatibili. Ad esempiohttps://*.addon.example.com
ohttps://main-stage-addon.example.com:443
. Risorsa percorsi non sono consentiti.Questo elenco viene utilizzato per:
Imposta il parametro
frame-src
degli iframe contenenti la tua applicazione.Verifica gli URL utilizzati dal componente aggiuntivo. L'origine utilizzata nelle seguenti lingue deve far parte delle origini elencate nel campo
addOnOrigins
del file manifest:Il campo
sidePanelUri
nel componente aggiuntivo del file manifest. Per ulteriori informazioni, vedi Crea un componente aggiuntivo di Meet.sidePanelUrl
emainStageUrl
inAddonScreenshareInfo
: . Per ulteriori informazioni, vedi Promuovi un componente aggiuntivo agli utenti tramite la condivisione schermo.sidePanelUrl
emainStageUrl
inCollaborationStartingState
Per ulteriori informazioni, vedi Utilizzare lo stato di avvio della collaborazione.
Convalida l'origine del sito che chiama la
MeetAddonScreenshare.exposeToMeetWhenScreensharing
.
Se la tua applicazione utilizza la navigazione URL all'interno dell'iframe, tutte le origini che al quale stai navigando deve essere elencato nel campo
addOnOrigins
. Tieni presente che sono consentiti sottodomini con caratteri jolly. Ad esempio:https://*.example.com
. Tuttavia, sconsigliamo vivamente di utilizzare i caratteri jolly sottodomini con un dominio di cui non sei proprietario, ad esempioweb.app
di proprietà Firebase.