การรักษาความปลอดภัยเสริม

หน้านี้จะแสดงรายละเอียดข้อกำหนดด้านความปลอดภัยที่ส่วนเสริมของบุคคลที่สาม ต้องปฏิบัติตาม

ข้อจำกัดของแหล่งที่มา

ต้นทางคือ URL ที่มีรูปแบบ (โปรโตคอล) โฮสต์ (โดเมน) และพอร์ต URL 2 รายการจะมีต้นทางเดียวกันเมื่อใช้รูปแบบ โฮสต์ และพอร์ตเดียวกัน อนุญาตให้ใช้ต้นทางย่อย ดูข้อมูลเพิ่มเติมได้ที่ RFC 6454

แหล่งข้อมูลเหล่านี้ใช้ต้นทางเดียวกันเนื่องจากมีคอมโพเนนต์รูปแบบ โฮสต์ และพอร์ตเดียวกัน

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

ข้อจำกัดต่อไปนี้จะมีผลเมื่อทำงานกับต้นทาง

1. ต้นทางทั้งหมดที่ใช้ในการดำเนินการของ ส่วนเสริมต้องใช้ https เป็นโปรโตคอล

2. ฟิลด์ addOnOrigins ใน ไฟล์ Manifest ของส่วนเสริม ต้องมี ต้นทางที่ส่วนเสริมของคุณ ใช้

   รายการในฟิลด์ addOnOrigins ต้องเป็นรายการค่าที่เข้ากันได้กับแหล่งที่มาของโฮสต์ CSP เช่น https://*.addon.example.com หรือ https://main-stage-addon.example.com:443 ไม่อนุญาตให้ใช้เส้นทาง ทรัพยากร

   รายการนี้ใช้เพื่อดำเนินการต่อไปนี้

   • กำหนดค่า frame-src ของ iframe ที่มีแอปพลิเคชัน

   • ตรวจสอบ URL ที่ส่วนเสริมของคุณใช้ ต้นทางที่ใช้ในภาษาต่อไปนี้ต้องเป็นส่วนหนึ่งของต้นทาง ที่ระบุไว้ในฟิลด์ addOnOrigins ในไฟล์ Manifest

     • ฟิลด์ sidePanelUri ในไฟล์ Manifest ของส่วนเสริม ดูข้อมูลเพิ่มเติมได้ที่ติดตั้งใช้งานส่วนเสริมของ Meet

     • พร็อพเพอร์ตี้ sidePanelUrl และ mainStageUrl ในออบเจ็กต์ AddonScreenshareInfo ดูข้อมูลเพิ่มเติมได้ที่ โปรโมตส่วนเสริมต่อผู้ใช้ผ่านการแชร์หน้าจอ

     • พร็อพเพอร์ตี้ sidePanelUrl และ mainStageUrl ใน ActivityStartingState ดูข้อมูลเพิ่มเติมเกี่ยวกับสถานะเริ่มต้นของกิจกรรมได้ที่ ทำงานร่วมกันโดยใช้ส่วนเสริมของ Meet

   • ตรวจสอบแหล่งที่มาของเว็บไซต์ที่เรียกใช้เมธอด exposeToMeetWhenScreensharing()

3. หากแอปพลิเคชันใช้การนำทาง URL ภายใน iframe ต้นทางทั้งหมดที่ มีการนำทางต้องแสดงอยู่ในช่องaddOnOrigins โปรดทราบว่า อนุญาตให้ใช้โดเมนย่อยแบบไวลด์การ์ด เช่น https://*.example.com อย่างไรก็ตาม เราไม่แนะนำอย่างยิ่งให้ใช้โดเมนย่อยแบบไวลด์การ์ดกับโดเมนที่คุณไม่ได้เป็นเจ้าของ เช่น web.app ซึ่งเป็นของ Firebase