Sécurité complémentaire

Cette page détaille les exigences de sécurité que les modules complémentaires tiers doivent respecter.

Restrictions liées à l'origine

Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, l'hôte et le port. Les sous-origines sont autorisées. Pour en savoir plus, consultez la norme RFC 6454.

Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Les contraintes suivantes s'appliquent lorsque vous travaillez avec des origines:

  1. Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser https comme protocole.

  2. Le champ addOnOrigins du fichier manifeste du module complémentaire doit être renseigné avec les origines que votre module complémentaire utilise.

    Les entrées du champ addOnOrigins doivent être une liste de valeurs compatibles avec la source d'hôte du CSP. Par exemple, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Les chemins d'accès aux ressources ne sont pas autorisés.

    Cette liste permet de:

  3. Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles la navigation est effectuée doivent être listées dans le champ addOnOrigins. Notez que les sous-domaines avec caractères génériques sont autorisés. Exemple : https://*.example.com. Toutefois, nous vous déconseillons vivement d'utiliser des sous-domaines génériques avec un domaine dont vous n'êtes pas propriétaire, comme web.app, qui appartient à Firebase.