Add-on-Sicherheit

Auf dieser Seite werden die Sicherheitsanforderungen von Add-ons von Drittanbietern beschrieben. erfüllen muss.

Ursprungsbeschränkungen

Ein Ursprung ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs denselben Ursprung haben, wenn sie das gleiche Schema, Host und Port verwenden. Subursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454 aus.

Diese Ressourcen haben denselben Ursprung, da sie dasselbe Schema, denselben Host und Portkomponenten:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Bei der Arbeit mit Ursprüngen werden die folgenden Einschränkungen erzwungen:

  1. Alle Ursprünge, die beim Betrieb von Ihr Add-on muss https als Protokoll verwenden.

  2. Im Feld addOnOrigins im Add-on Manifest muss mit den Ursprüngen gefüllt, aus denen Ihr Add-on stammt verwenden.

    Die Einträge im Feld addOnOrigins müssen eine Liste mit CSP-Hosts sein. Quelle kompatiblen Werten. Beispiel: https://*.addon.example.com oder https://main-stage-addon.example.com:443. Ressource Pfade sind nicht zulässig.

    Diese Liste wird für Folgendes verwendet:

  3. Wenn Ihre Anwendung URL-Navigation innerhalb des iFrames verwendet, werden alle Ursprünge aufgerufen werden soll, muss im Feld addOnOrigins aufgeführt sein. Beachten Sie, dass Platzhalter-Subdomains sind zulässig. Beispiel: https://*.example.com Wir raten jedoch dringend davon ab, Platzhalter zu verwenden. Subdomains einer Domain, die nicht Ihnen gehört, z. B. web.app, das gehört Firebase