Sicurezza aggiuntiva

In questa pagina vengono descritti i requisiti di sicurezza dei componenti aggiuntivi di terze parti devono soddisfare.

Limitazioni relative all'origine

Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, host e porta. Sono consentite le origini secondarie. Per ulteriori informazioni, consulta RFC 6454

Queste risorse condividono la stessa origine perché hanno lo stesso schema, host componenti della porta:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Quando si lavora con le origini, vengono applicati i seguenti vincoli:

  1. Tutte le origini utilizzate nell'operazione di il componente aggiuntivo deve utilizzare https come protocollo.

  2. Il campo addOnOrigins nel componente aggiuntivo il file manifest deve essere con le origini del componente aggiuntivo che utilizzano.

    Le voci nel campo addOnOrigins devono essere un elenco di host CSP fonte compatibili. Ad esempio https://*.addon.example.com o https://main-stage-addon.example.com:443. Risorsa percorsi non sono consentiti.

    Questo elenco viene utilizzato per:

  3. Se la tua applicazione utilizza la navigazione URL all'interno dell'iframe, tutte le origini che al quale stai navigando deve essere elencato nel campo addOnOrigins. Tieni presente che sono consentiti sottodomini con caratteri jolly. Ad esempio: https://*.example.com. Tuttavia, sconsigliamo vivamente di utilizzare i caratteri jolly sottodomini con un dominio di cui non sei proprietario, ad esempio web.app di proprietà Firebase.