Дополнительная безопасность

На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.

Ограничения по происхождению

Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют один и тот же источник, если они используют одну и ту же схему, хост и порт. Допускается использование подисточников. Подробнее см. RFC 6454 .

Эти ресурсы имеют одинаковое происхождение, поскольку имеют одинаковую схему, хост и компоненты порта:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

При работе с источниками применяются следующие ограничения:

1. Все источники, используемые в работе вашего дополнения, должны использовать https в качестве протокола.

2. Поле addOnOrigins в манифесте дополнения должно быть заполнено источниками, которые использует ваше дополнение.

   Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источниками хостов CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.

   Этот список используется для:

   • Задайте значение frame-src для фреймов, содержащих ваше приложение.

   • Проверьте URL-адреса, используемые вашим дополнением. Источник, используемый в следующих локалях, должен быть частью источников, указанных в поле addOnOrigins в манифесте:

     • Поле sidePanelUri в манифесте дополнения. Подробнее см. в разделе Развертывание дополнения Meet .

     • Свойства sidePanelUrl и mainStageUrl в объекте AddonScreenshareInfo . Подробнее см. в разделе «Показ дополнения пользователям через демонстрацию экрана» .

     • Свойства sidePanelUrl и mainStageUrl в ActivityStartingState . Подробнее о начальном состоянии активности см. в разделе Совместная работа с использованием дополнения Meet .

   • Проверьте источник сайта, вызывающего метод exposeToMeetWhenScreensharing() .

3. Если ваше приложение использует навигацию по URL внутри iframe, все источники, на которые осуществляется переход, должны быть указаны в поле addOnOrigins . Обратите внимание, что поддомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать поддомены с подстановочными знаками для доменов, которым вы не владеете, например, web.app , который принадлежит Firebase.