このページでは、サードパーティ製アドオンが満たす必要があるセキュリティ要件について詳しく説明します。
オリジンの制限
オリジンは、スキーム(プロトコル)、ホスト(ドメイン)、ポートを含む URL です。2 つの URL のスキーム、ホスト、ポートが同じ場合、その 2 つの URL のオリジンは同じです。サブオリジンは許可されます。詳細については、RFC 6454 をご覧ください。
これらのリソースは、スキーム、ホスト、ポートのコンポーネントが同じであるため、同じオリジンを共有します。
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
オリジンを操作する場合は、次の制約が適用されます。
アドオンの運用で使用されるすべてのオリジンは、プロトコルとして
https
を使用する必要があります。アドオン マニフェストの
addOnOrigins
フィールドには、アドオンが使用しているオリジンを入力する必要があります。addOnOrigins
フィールドのエントリは、CSP ホストソースと互換性のある値のリストである必要があります。たとえば、https://*.addon.example.com
やhttps://main-stage-addon.example.com:443
です。リソースパスは使用できません。このリストは次の目的で使用されます。
アプリケーションを含む iframe の
frame-src
値を設定します。アドオンで使用している URL を検証します。次の言語 / 地域で使用するオリジンは、マニフェストの
addOnOrigins
フィールドにリストされているオリジンの一部である必要があります。アドオン マニフェストの
sidePanelUri
フィールド。詳細については、Meet アドオンをデプロイするをご覧ください。AddonScreenshareInfo
オブジェクトのsidePanelUrl
プロパティとmainStageUrl
プロパティ。詳細については、画面共有でアドオンをユーザーに宣伝するをご覧ください。ActivityStartingState
のsidePanelUrl
プロパティとmainStageUrl
プロパティ。アクティビティの開始状態について詳しくは、 Meet アドオンを使用してコラボレーションするをご覧ください。
exposeToMeetWhenScreensharing()
メソッドを呼び出しているサイトのオリジンを検証します。
アプリケーションで iframe 内の URL ナビゲーションを使用する場合は、ナビゲート先のすべてのオリジンを
addOnOrigins
フィールドに指定する必要があります。ワイルドカード サブドメインは許可されます。例:https://*.example.com
ただし、Firebase が所有するweb.app
など、所有していないドメインでワイルドカード サブドメインを使用することはおすすめしません。