Cette page détaille les exigences de sécurité que les modules complémentaires tiers doivent respecter.
Restrictions liées à l'origine
Une origine est une URL avec un schéma (protocole), un hôte (domaine) et un port. Deux URL ont la même origine lorsqu'elles partagent le même schéma, l'hôte et le port. Les sous-origines sont autorisées. Pour en savoir plus, consultez la norme RFC 6454.
Ces ressources partagent la même origine, car elles ont les mêmes composants de schéma, d'hôte et de port:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Les contraintes suivantes s'appliquent lorsque vous travaillez avec des origines:
Toutes les origines utilisées dans le fonctionnement de votre module complémentaire doivent utiliser
https
comme protocole.Le champ
addOnOrigins
du fichier manifeste du module complémentaire doit être renseigné avec les origines que votre module complémentaire utilise.Les entrées du champ
addOnOrigins
doivent être une liste de valeurs compatibles avec la source d'hôte du CSP. Par exemple,https://*.addon.example.com
ouhttps://main-stage-addon.example.com:443
. Les chemins d'accès aux ressources ne sont pas autorisés.Cette liste permet de:
Définissez la valeur
frame-src
des iFrames contenant votre application.Validez les URL utilisées par votre module complémentaire. L'origine utilisée dans les paramètres régionaux suivants doit faire partie des origines listées dans le champ
addOnOrigins
du fichier manifeste:Champ
sidePanelUri
dans le fichier manifeste du module complémentaire. Pour en savoir plus, consultez la section Déployer un module complémentaire Meet.Les propriétés
sidePanelUrl
etmainStageUrl
de l'objetAddonScreenshareInfo
. Pour en savoir plus, consultez Promouvoir un module complémentaire auprès des utilisateurs via le partage d'écran.Propriétés
sidePanelUrl
etmainStageUrl
dansActivityStartingState
. Pour en savoir plus sur l'état de démarrage de l'activité, consultez Collaborer à l'aide d'un module complémentaire Meet.
Validez l'origine du site qui appelle la méthode
exposeToMeetWhenScreensharing()
.
Si votre application utilise la navigation par URL dans l'iFrame, toutes les origines vers lesquelles la navigation est effectuée doivent être listées dans le champ
addOnOrigins
. Notez que les sous-domaines avec caractères génériques sont autorisés. Exemple :https://*.example.com
. Toutefois, nous vous déconseillons vivement d'utiliser des sous-domaines génériques avec un domaine dont vous n'êtes pas propriétaire, commeweb.app
, qui appartient à Firebase.