부가기능 보안

이 페이지에서는 서드 파티 부가기능이 충족해야 하는 보안 요구사항을 자세히 설명합니다.

출처 제한

출처는 스키마 (프로토콜), 호스트 (도메인), 포트가 있는 URL입니다. 두 URL의 스키마, 호스트, 포트가 동일하면 두 URL의 출처가 동일합니다. 하위 출처는 허용됩니다. 자세한 내용은 RFC 6454를 참고하세요.

다음 리소스는 스키마, 호스트, 포트 구성요소가 동일하므로 동일한 출처를 공유합니다.

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

출처를 사용할 때는 다음 제약조건이 적용됩니다.

  1. 부가기능 작동에 사용되는 모든 출처https를 프로토콜로 사용해야 합니다.

  2. 부가기능 매니페스트addOnOrigins 필드는 부가기능에서 사용하는 출처로 채워야 합니다.

    addOnOrigins 필드의 항목은 CSP 호스트 소스 호환 값의 목록이어야 합니다. 예를 들면 https://*.addon.example.com 또는 https://main-stage-addon.example.com:443입니다. 리소스 경로는 허용되지 않습니다.

    이 목록은 다음과 같은 용도로 사용됩니다.

  3. 애플리케이션이 iframe 내에서 URL 탐색을 사용하는 경우 탐색되는 모든 출처가 addOnOrigins 필드에 나열되어야 합니다. 와일드 카드 하위 도메인은 허용됩니다. 예를 들면 https://*.example.com입니다. 하지만 소유하지 않은 도메인(예: Firebase에서 소유한 web.app)에 와일드 카드 하위 도메인을 사용하지 않는 것이 좋습니다.