Sécurité complémentaire

Cette page décrit les exigences de sécurité que les modules complémentaires tiers doivent respecter.

Restrictions d'origine

Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, le même hôte et le même port. Les sous-origines sont autorisées. Pour en savoir plus, consultez la RFC 6454.

Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port :

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Les contraintes suivantes s'appliquent lorsque vous travaillez avec des origines :

1. Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser https comme protocole.

2. Le champ addOnOrigins du fichier manifeste du module complémentaire doit être renseigné avec les origines utilisées par votre module complémentaire.

   Les entrées du champ addOnOrigins doivent être une liste de valeurs compatibles avec la source hôte CSP. Par exemple, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Les chemins de ressources ne sont pas autorisés.

   Cette liste est utilisée pour :

   • Définissez la valeur frame-src des iFrames contenant votre application.

   • Validez les URL utilisées par votre module complémentaire. L'origine utilisée dans les paramètres régionaux suivants doit faire partie des origines listées dans le champ addOnOrigins du fichier manifeste :

     • Le champ sidePanelUri dans le fichier manifeste du module complémentaire. Pour en savoir plus, consultez Déployer un module complémentaire Meet.

     • Les propriétés sidePanelUrl et mainStageUrl dans l'objet AddonScreenshareInfo. Pour en savoir plus, consultez Promouvoir un module complémentaire auprès des utilisateurs par le biais du partage d'écran.

     • Propriétés sidePanelUrl et mainStageUrl dans ActivityStartingState. Pour en savoir plus sur l'état de démarrage des activités, consultez Collaborer à l'aide d'un module complémentaire Meet.

   • Validez l'origine du site qui appelle la méthode exposeToMeetWhenScreensharing().

3. Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles la navigation est effectuée doivent être listées dans le champ addOnOrigins. Notez que les sous-domaines avec caractère générique sont autorisés. Exemple : https://*.example.com. Toutefois, nous vous déconseillons vivement d'utiliser des sous-domaines génériques avec un domaine qui ne vous appartient pas, comme web.app, qui appartient à Firebase.