אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה שתוספים של צד שלישי צריכים לעמוד בהן.

הגבלות על המקור

מקור הוא כתובת URL עם סכמה (פרוטוקול), מארח (דומיין) ויציאה. לשתי כתובות URL יש את אותו מקור אם הן חולקות את אותה סכמה, מארח ויציאה. מותר להשתמש בתת-מקורות. מידע נוסף זמין ב-RFC 6454.

למשאבים האלה יש אותו מקור כי יש להם את אותם רכיבי סכמה, מארח ויציאה:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

כשעובדים עם מקורות, המגבלות הבאות נאכפות:

1. כל המקורות שמשמשים להפעלת התוסף צריכים להשתמש ב-https כפרוטוקול.

2. צריך למלא את השדה addOnOrigins בקובץ המניפסט של התוסף עם המקורות שבהם התוסף משתמש.

   הערכים בשדה addOnOrigins צריכים להיות רשימה של ערכים שתואמים למקור מארח של CSP. לדוגמה, https://*.addon.example.com או https://main-stage-addon.example.com:443. אסור להשתמש בנתיבי משאבים.

   הרשימה הזו משמשת ל:

   • מגדירים את הערך של frame-src של ה-iframe שמכיל את האפליקציה.

   • מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שמשמש בלוקאלים הבאים חייב להיות חלק מהמקורות שמפורטים בשדה addOnOrigins במניפסט:

     • השדה sidePanelUri במניפסט של התוסף. מידע נוסף זמין במאמר בנושא פריסת תוסף ל-Meet.

     • המאפיינים sidePanelUrl ו-mainStageUrl באובייקט AddonScreenshareInfo. מידע נוסף זמין במאמר בנושא קידום תוסף למשתמשים באמצעות שיתוף מסך.

     • המאפיינים sidePanelUrl ו-mainStageUrl ב-ActivityStartingState. מידע נוסף על מצב ההתחלה של הפעילות זמין במאמר איך משתפים פעולה באמצעות תוסף ל-Meet.

   • מאמתים את המקור של האתר שמבצע את הקריאה לשיטה exposeToMeetWhenScreensharing().

3. אם האפליקציה משתמשת בניווט בכתובות URL בתוך ה-iframe, צריך לציין בשדה addOnOrigins את כל המקורות שאליהם מתבצע הניווט. שימו לב שאפשר להשתמש בתת-דומיינים עם תווים כלליים. לדוגמה, https://*.example.com. עם זאת, מומלץ מאוד לא להשתמש בתת-דומיינים עם תווים כלליים בדומיין שלא נמצא בבעלותכם, כמו web.app שנמצא בבעלות Firebase.