Questa pagina illustra i requisiti di sicurezza che devono soddisfare i componenti aggiuntivi di terze parti.
Restrizioni relative all'origine
Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, lo stesso host e la stessa porta. Le origini secondarie sono consentite. Per ulteriori informazioni, consulta la RFC 6454.
Queste risorse condividono la stessa origine in quanto hanno gli stessi componenti schema, host e porta:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Quando si utilizzano le origini, vengono applicati i seguenti vincoli:
Tutte le origini utilizzate per il funzionamento del tuo componente aggiuntivo devono utilizzare
https
come protocollo.Il campo
addOnOrigins
nel manifesto del componente aggiuntivo deve essere compilato con le origini utilizzate dal componente aggiuntivo.Le voci nel campo
addOnOrigins
devono essere un elenco di valori compatibili con l'origine dell'host del fornitore di servizi cloud. Ad esempiohttps://*.addon.example.com
ohttps://main-stage-addon.example.com:443
. I percorsi delle risorse non sono consentiti.Questo elenco viene utilizzato per:
Imposta il valore
frame-src
degli iframe contenenti la tua applicazione.Convalida gli URL utilizzati dal componente aggiuntivo. L'origine utilizzata nelle seguenti lingue deve far parte delle origini elencate nel campo
addOnOrigins
del file manifest:Il campo
sidePanelUri
nel file manifest del componente aggiuntivo. Per ulteriori informazioni, consulta Eseguire il deployment di un componente aggiuntivo di Meet.Le proprietà
sidePanelUrl
emainStageUrl
nell'oggettoAddonScreenshareInfo
. Per ulteriori informazioni, consulta Promuovere un componente aggiuntivo agli utenti tramite la condivisione dello schermo.Le proprietà
sidePanelUrl
emainStageUrl
inActivityStartingState
. Per ulteriori informazioni sullo stato di inizio dell'attività, consulta Collaborare utilizzando un componente aggiuntivo di Meet.
Convalida l'origine del sito che chiama il metodo
exposeToMeetWhenScreensharing()
.
Se la tua applicazione utilizza la navigazione dell'URL all'interno dell'iframe, tutte le origini a cui si accede devono essere elencate nel campo
addOnOrigins
. Tieni presente che i sottodomini con caratteri jolly sono consentiti. Ad esempio,https://*.example.com
. Tuttavia, sconsigliamo vivamente di utilizzare sottodomini con caratteri jolly con un dominio che non possiedi, ad esempioweb.app
, di proprietà di Firebase.