Na tej stronie znajdziesz szczegółowe informacje o wymaganiach dotyczących bezpieczeństwa, które muszą spełniać dodatki innych firm.
Ograniczenia dotyczące pochodzenia
Źródło to adres URL ze schematem (protokołem), hostem (domeną) i portem. Dwa adresy URL mają to samo źródło, gdy mają ten sam schemat, host i port. Dozwolone są subdomeny. Więcej informacji znajdziesz w dokumencie RFC 6454.
Te zasoby mają to samo źródło, ponieważ mają te same komponenty schematu, hosta i portu:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
Podczas pracy z pochodzeniami obowiązują te ograniczenia:
Wszystkie źródła używane w działaniu dodatku muszą korzystać z protokołu
https.Pole
addOnOriginsw pliku manifestu dodatku musi zawierać pochodzenie, z którego korzysta dodatek.Wpisy w polu
addOnOriginsmuszą być listą wartości zgodnych z źródłem hosta CSP. Na przykładhttps://*.addon.example.comlubhttps://main-stage-addon.example.com:443. Ścieżki zasobów są niedozwolone.Ta lista służy do:
Ustaw wartość
frame-srcw przypadku elementów iframe zawierających Twoją aplikację.Sprawdź adresy URL używane przez dodatek. Źródło używane w tych regionach musi być częścią źródeł wymienionych w polu
addOnOriginsw pliku manifestu:Pole
sidePanelUriw pliku manifestu dodatku. Więcej informacji znajdziesz w artykule Wdrażanie dodatku do Meet.Właściwości
sidePanelUrlimainStageUrlw obiekcieAddonScreenshareInfo. Więcej informacji znajdziesz w artykule Promowanie dodatku wśród użytkowników za pomocą udostępniania ekranu.Właściwości
sidePanelUrlimainStageUrlwActivityStartingState. Więcej informacji o stanie początkowym aktywności znajdziesz w artykule Współpraca przy użyciu dodatku do Meet.
Sprawdź pochodzenie witryny, która wywołuje metodę
exposeToMeetWhenScreensharing().
Jeśli aplikacja używa nawigacji po adresach URL w ramce iframe, wszystkie źródła, do których następuje nawigacja, muszą być wymienione w polu
addOnOrigins. Pamiętaj, że subdomeny z wieloznacznymi symbolami są dozwolone. Na przykład:https://*.example.com. Zdecydowanie odradzamy jednak używanie subdomen z symbolem wieloznacznym w przypadku domeny, która nie należy do Ciebie, np.web.app, która jest własnością Firebase.