Na tej stronie znajdziesz szczegółowe informacje o wymaganiach dotyczących zabezpieczeń, które muszą spełniać rozszerzenia innych firm.
Ograniczenia dotyczące pochodzenia
Źródło to adres URL z schematem (protokół), hostem (domeną) i portem. Dwa adresy URL mają to samo źródło, gdy mają ten sam schemat, hosta i port. Dozwolone są subdomeny. Więcej informacji znajdziesz w dokumencie RFC 6454.
Te zasoby mają ten sam schemat, hosta i port:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Podczas pracy z uzami źródłowymi obowiązują te ograniczenia:
Wszystkie źródła używane w działaniu dodatku muszą używać protokołu
https
.Pole
addOnOrigins
w pliku manifestu dodatku musi zawierać listę źródeł, których używa dodatek.Wpisy w polu
addOnOrigins
muszą być listą wartości zgodnych z źródłem hosta CSP. Na przykładhttps://*.addon.example.com
lubhttps://main-stage-addon.example.com:443
. Ścieżki zasobów są niedozwolone.Ta lista służy do:
Ustaw wartość
frame-src
dla iframe’ów zawierających aplikację.Sprawdź adresy URL używane przez dodatek. Źródło używane w tych lokalizacjach musi być częścią źródeł wymienionych w polu
addOnOrigins
w pliku manifestu:Pole
sidePanelUri
w pliku manifestu dodatku. Więcej informacji znajdziesz w artykule Wdrażanie dodatku do Meet.Właściwości
sidePanelUrl
imainStageUrl
w obiekcieAddonScreenshareInfo
. Więcej informacji znajdziesz w artykule Promowanie dodatku wśród użytkowników za pomocą udostępniania ekranu.Właściwości
sidePanelUrl
imainStageUrl
w plikuActivityStartingState
. Więcej informacji o stanie rozpoczęcia aktywności znajdziesz w artykule Współpraca przy użyciu dodatku do Meet.
Sprawdź pochodzenie witryny, która wywołuje metodę
exposeToMeetWhenScreensharing()
.
Jeśli aplikacja korzysta z przechodzenia do adresów URL w ramach elementu iframe, w polu
addOnOrigins
należy podać wszystkie źródła, do których można przejść. Pamiętaj, że dozwolone są subdomeny z symbolem wieloznaczeniowym. Na przykład:https://*.example.com
. Zdecydowanie odradzamy jednak używanie poddomen z symbolem wieloznaczeniowym w domenie, której nie posiadasz, np.web.app
, która należy do Firebase.