부가기능 보안

이 페이지에서는 서드 파티 부가기능이 충족해야 하는 보안 요구사항을 자세히 설명합니다.

출처 제한

출처는 스키마 (프로토콜), 호스트 (도메인), 포트가 있는 URL입니다. 두 URL이 동일한 스키마, 호스트, 포트를 공유하는 경우 출처가 동일합니다. 하위 출처는 허용됩니다. 자세한 내용은 RFC 6454를 참고하세요.

이러한 리소스는 스키마, 호스트, 포트 구성요소가 동일하므로 출처가 동일합니다.

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

오리진으로 작업할 때는 다음 제약 조건이 적용됩니다.

1. 애드온 작동에 사용되는 모든 출처는 https를 프로토콜로 사용해야 합니다.

2. 부가기능 매니페스트의 addOnOrigins 필드는 부가기능에서 사용하는 출처로 채워져야 합니다.

   addOnOrigins 필드의 항목은 CSP 호스트 소스 호환 값의 목록이어야 합니다. 예를 들면 https://*.addon.example.com 또는 https://main-stage-addon.example.com:443입니다. 리소스 경로는 허용되지 않습니다.

   이 목록은 다음 용도로 사용됩니다.

   • 애플리케이션이 포함된 iframe의 frame-src 값을 설정합니다.

   • 부가기능에서 사용하는 URL을 검증합니다. 다음 언어에서 사용되는 출처는 매니페스트의 addOnOrigins 필드에 나열된 출처에 포함되어야 합니다.

     • 애드온 매니페스트의 sidePanelUri 필드입니다. 자세한 내용은 Meet 부가기능 배포를 참고하세요.

     • AddonScreenshareInfo 객체의 sidePanelUrl 및 mainStageUrl 속성 자세한 내용은 화면 공유를 통해 사용자에게 부가기능 홍보하기를 참고하세요.

     • ActivityStartingState의 sidePanelUrl 및 mainStageUrl 속성 활동 시작 상태에 관한 자세한 내용은 Meet 부가기능을 사용하여 공동작업하기를 참고하세요.

   • exposeToMeetWhenScreensharing() 메서드를 호출하는 사이트의 출처를 검증합니다.

3. 애플리케이션이 iframe 내에서 URL 탐색을 사용하는 경우 탐색되는 모든 출처가 addOnOrigins 필드에 나열되어야 합니다. 와일드 카드 하위 도메인은 허용됩니다. 예를 들면 https://*.example.com입니다. 하지만 Firebase에서 소유한 web.app와 같이 소유하지 않은 도메인에 와일드카드 하위 도메인을 사용하는 것은 권장하지 않습니다.