Dodatkowe zabezpieczenia

Na tej stronie znajdziesz szczegółowe informacje o wymaganiach dotyczących zabezpieczeń, które muszą spełniać rozszerzenia innych firm.

Ograniczenia dotyczące pochodzenia

Źródło to adres URL z schematem (protokół), hostem (domeną) i portem. Dwa adresy URL mają to samo źródło, gdy mają ten sam schemat, hosta i port. Dozwolone są subdomeny. Więcej informacji znajdziesz w dokumencie RFC 6454.

Te zasoby mają ten sam schemat, hosta i port:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Podczas pracy z uzami źródłowymi obowiązują te ograniczenia:

  1. Wszystkie źródła używane w działaniu dodatku muszą używać protokołu https.

  2. Pole addOnOrigins w pliku manifestu dodatku musi zawierać listę źródeł, których używa dodatek.

    Wpisy w polu addOnOrigins muszą być listą wartości zgodnych z źródłem hosta CSP. Na przykład https://*.addon.example.com lub https://main-stage-addon.example.com:443. Ścieżki zasobów są niedozwolone.

    Ta lista służy do:

  3. Jeśli aplikacja korzysta z przechodzenia do adresów URL w ramach elementu iframe, w polu addOnOrigins należy podać wszystkie źródła, do których można przejść. Pamiętaj, że dozwolone są subdomeny z symbolem wieloznaczeniowym. Na przykład: https://*.example.com. Zdecydowanie odradzamy jednak używanie poddomen z symbolem wieloznaczeniowym w domenie, której nie posiadasz, np. web.app, która należy do Firebase.