Diese Seite wurde von der Cloud Translation API übersetzt.

Add-on-Sicherheit

Auf dieser Seite werden die Sicherheitsanforderungen beschrieben, die Add-ons von Drittanbietern erfüllen müssen.

Herkunftseinschränkungen

Eine Quelle ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs haben dieselbe Quelle, wenn sie dasselbe Schema, denselben Host und denselben Port haben. Untergeordnete Ursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454.

Diese Ressourcen haben denselben Ursprung, da sie dieselben Schema-, Host- und Portkomponenten haben:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Bei der Arbeit mit Ursprüngen gelten die folgenden Einschränkungen:

Alle Quellen, die für den Betrieb Ihres Add-ons verwendet werden, müssen https als Protokoll verwenden.
Das Feld addOnOrigins im Add-on-Manifest muss mit den Quellen ausgefüllt werden, die Ihr Add-on verwendet.

Die Einträge im Feld addOnOrigins müssen eine Liste von mit der CSP-Hostquelle kompatiblen Werten sein. Beispiel: https://*.addon.example.com oder https://main-stage-addon.example.com:443. Ressourcenpfade sind nicht zulässig.

Diese Liste wird für Folgendes verwendet:
- Legen Sie den Wert frame-src für die Iframes fest, die Ihre Anwendung enthalten.
- Prüfen Sie die URLs, die von Ihrem Add-on verwendet werden. Die in den folgenden Sprachen verwendete Quelle muss zu den im Feld addOnOrigins im Manifest aufgeführten Quellen gehören:
  - Das Feld sidePanelUri im Add-on-Manifest. Weitere Informationen finden Sie unter Meet-Add-on bereitstellen.
  - Die Properties sidePanelUrl und mainStageUrl im AddonScreenshareInfo-Objekt. Weitere Informationen finden Sie unter Add-ons über die Bildschirmfreigabe bewerben.
  - Die Properties sidePanelUrl und mainStageUrl in ActivityStartingState. Weitere Informationen zum Startstatus von Aktivitäten finden Sie unter Mit einem Meet-Add-on zusammenarbeiten.
- Prüfen Sie den Ursprung der Website, die die Methode exposeToMeetWhenScreensharing() aufruft.
Wenn Ihre Anwendung die URL-Navigation innerhalb des iFrames verwendet, müssen alle Ursprünge, zu denen navigiert wird, im Feld addOnOrigins aufgeführt sein. Platzhalter-Subdomains sind zulässig. Beispiel: https://*.example.com Wir raten jedoch dringend davon ab, Platzhalter-Subdomains mit einer Domain zu verwenden, deren Inhaber Sie nicht sind, z. B. web.app, die zu Firebase gehört.