אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה שעל תוספים של צד שלישי לעמוד בהן.

הגבלות על מקור הנתונים

מקור הוא כתובת URL עם סכמה (פרוטוקול), מארח (דומיין) ויציאה. שתי כתובות URL הן באותו מקור אם הן חולקות את אותה סכמה, מארח ויציאה. מותר להשתמש במקורות משנה. מידע נוסף זמין ב-RFC 6454.

המשאבים האלה משותפים לאותו מקור כי יש להם את אותם רכיבי סכמה, מארח ויציאה:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

כשעובדים עם מקורות, המגבלות הבאות נאכפות:

1. כל המקורות שמשמשים בתפעול התוסף חייבים להשתמש ב-https כפרוטוקול.

2. צריך לאכלס את השדה addOnOrigins במניפסט של התוסף במקורות שבהם התוסף משתמש.

   הרשומות בשדה addOnOrigins חייבות להיות רשימה של ערכים תואמים למקור מארח של CSP. לדוגמה https://*.addon.example.com או https://main-stage-addon.example.com:443. אסור להשתמש בנתיבי משאבים.

   הרשימה הזו משמשת לפעולות הבאות:

   • מגדירים את הערך של frame-src בתגי iframe שמכילים את האפליקציה.

   • מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שמשמש בשפנים הבאות חייב להיות חלק מהמקורות שמפורטים בשדה addOnOrigins במניפסט:

     • השדה sidePanelUri במניפסט של התוסף. מידע נוסף זמין במאמר פריסה של תוסף ל-Meet.

     • המאפיינים sidePanelUrl ו-mainStageUrl באובייקט AddonScreenshareInfo. מידע נוסף זמין במאמר קידום תוסף למשתמשים באמצעות שיתוף מסך.

     • המאפיינים sidePanelUrl ו-mainStageUrl ב-ActivityStartingState. מידע נוסף על מצב הפעילות בזמן ההתחלה זמין במאמר שיתוף פעולה באמצעות תוסף ל-Meet.

   • מוודאים שהמקור של האתר שמפעיל את השיטה exposeToMeetWhenScreensharing() הוא אמין.

3. אם האפליקציה משתמשת בניווט לפי כתובות URL בתוך ה-iframe, כל המקורות שאליהם מתבצע הניווט חייבים להופיע בשדה addOnOrigins. חשוב לזכור שאפשר להשתמש בתת-דומיינים עם תווים כלליים. לדוגמה, https://*.example.com. עם זאת, מומלץ מאוד לא להשתמש בתת-דומיינים עם תווים כלליים בדומיין שאינו בבעלותכם, כמו web.app שבבעלות Firebase.