이 페이지에서는 서드 파티 부가기능이 충족해야 하는 보안 요구사항을 자세히 설명합니다.
출처 제한
출처는 스키마 (프로토콜), 호스트 (도메인), 포트가 있는 URL입니다. 두 URL의 스키마, 호스트, 포트가 동일하면 두 URL의 출처가 동일합니다. 하위 출처는 허용됩니다. 자세한 내용은 RFC 6454를 참고하세요.
다음 리소스는 스키마, 호스트, 포트 구성요소가 동일하므로 동일한 출처를 공유합니다.
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
출처를 사용할 때는 다음 제약조건이 적용됩니다.
부가기능 작동에 사용되는 모든 출처는
https
를 프로토콜로 사용해야 합니다.부가기능 매니페스트의
addOnOrigins
필드는 부가기능에서 사용하는 출처로 채워야 합니다.addOnOrigins
필드의 항목은 CSP 호스트 소스 호환 값의 목록이어야 합니다. 예를 들면https://*.addon.example.com
또는https://main-stage-addon.example.com:443
입니다. 리소스 경로는 허용되지 않습니다.이 목록은 다음과 같은 용도로 사용됩니다.
애플리케이션이 포함된 iframe의
frame-src
값을 설정합니다.부가기능에서 사용하는 URL을 확인합니다. 다음 언어로 사용되는 출처는 매니페스트의
addOnOrigins
필드에 나열된 출처의 일부여야 합니다.부가기능 매니페스트의
sidePanelUri
필드 자세한 내용은 Meet 부가기능 배포를 참고하세요.AddonScreenshareInfo
객체의sidePanelUrl
및mainStageUrl
속성 자세한 내용은 화면 공유를 통해 사용자에게 부가기능 홍보하기를 참고하세요.ActivityStartingState
의sidePanelUrl
및mainStageUrl
속성 활동 시작 상태에 관한 자세한 내용은 Meet 부가기능을 사용하여 공동작업하기를 참고하세요.
exposeToMeetWhenScreensharing()
메서드를 호출하는 사이트의 출처를 확인합니다.
애플리케이션이 iframe 내에서 URL 탐색을 사용하는 경우 탐색되는 모든 출처가
addOnOrigins
필드에 나열되어야 합니다. 와일드 카드 하위 도메인은 허용됩니다. 예를 들면https://*.example.com
입니다. 하지만 소유하지 않은 도메인(예: Firebase에서 소유한web.app
)에 와일드 카드 하위 도메인을 사용하지 않는 것이 좋습니다.