Seguridad complementaria

En esta página, se detallan los requisitos de seguridad que deben cumplir los complementos de terceros.

Restricciones de origen

Un origen es una URL con un esquema (protocolo), un host (dominio) y un puerto. Dos URLs tienen el mismo origen cuando comparten el mismo esquema, host y puerto. Se permiten los suborígenes. Para obtener más información, consulta RFC 6454.

Estos recursos comparten el mismo origen, ya que tienen los mismos componentes de esquema, host y puerto:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Se aplican las siguientes restricciones cuando se trabaja con orígenes:

1. Todos los orígenes que se usen en el funcionamiento de tu complemento deben usar https como protocolo.

2. El campo addOnOrigins del manifiesto del complemento debe completarse con los orígenes que usa tu complemento.

   Las entradas del campo addOnOrigins deben ser una lista de valores compatibles con la fuente del host de CSP. Por ejemplo, https://*.addon.example.com o https://main-stage-addon.example.com:443. No se permiten rutas de acceso a recursos.

   Esta lista se usa para lo siguiente:

   • Establece el valor frame-src de los elementos iframe que contienen tu aplicación.

   • Valida las URLs que usa tu complemento. El origen que se usa en los siguientes parámetros de configuración regional debe formar parte de los orígenes que se indican en el campo addOnOrigins del manifiesto:

     • El campo sidePanelUri en el manifiesto del complemento. Para obtener más información, consulta Implementa un complemento de Meet.

     • Son las propiedades sidePanelUrl y mainStageUrl del objeto AddonScreenshareInfo. Para obtener más información, consulta Cómo promocionar un complemento para los usuarios a través del uso compartido de pantalla.

     • Las propiedades sidePanelUrl y mainStageUrl en ActivityStartingState Para obtener más información sobre el estado inicial de la actividad, consulta Cómo colaborar con un complemento de Meet.

   • Valida el origen del sitio que llama al método exposeToMeetWhenScreensharing().

3. Si tu aplicación usa la navegación por URL dentro del iframe, todos los orígenes a los que se navega deben aparecer en el campo addOnOrigins. Ten en cuenta que se permiten los subdominios con comodines. Por ejemplo, https://*.example.com Sin embargo, te recomendamos que no uses subdominios comodín con un dominio que no te pertenezca, como web.app, que es propiedad de Firebase.