이 페이지에서는 서드 파티 부가기능의 보안 요구사항을 자세히 설명합니다. 있습니다.
출처 제한
출처는 스키마 (프로토콜), 호스트 (도메인), 포트가 포함된 URL입니다. URL 2개 동일한 스킴, 호스트, 포트를 공유할 때 원본이 같다는 것을 의미합니다. 하위 출처가 허용됩니다. 자세한 내용은 RFC 6454입니다.
이러한 리소스는 스키마, 호스트, 클러스터가 동일하기 때문에 동일한 출처를 공유합니다. 포트 구성 요소:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
출처 작업 시 다음 제약조건이 적용됩니다.
부가기능의
addOnOrigins필드 매니페스트는 부가기능이 사용 중인 원본으로 채워져 있고 있습니다.addOnOrigins입력란의 항목은 CSP 호스트의 목록이어야 합니다. 소스 조합할 수 있습니다. 예를 들면https://*.addon.example.com또는https://main-stage-addon.example.com:443리소스 과정 허용되지 않습니다.이 목록은 다음 용도로 사용됩니다.
다음과 같이 설정합니다.
frame-src드림 값을 지정할 수 있습니다.부가기능에서 사용 중인 URL의 유효성을 검사합니다. 다음 언어에서 사용된 출처는 출처의 일부여야 합니다. 매니페스트의
addOnOrigins필드에 나열되어 있습니다.부가기능의
sidePanelUri필드 합니다. 자세한 내용은 Meet 부가기능을 빌드합니다.sidePanelUrl및mainStageUrl는AddonScreenshareInfo객체를 지정합니다. 자세한 내용은 화면 공유를 통해 사용자에게 부가기능 홍보하기sidePanelUrl및mainStageUrl는CollaborationStartingState자세한 내용은 공동작업 시작 상태 사용을 참고하세요.
MeetAddonScreenshare.exposeToMeetWhenScreensharing드림 메서드를 사용하여 축소하도록 요청합니다.
애플리케이션이 iframe 내부에서 URL 탐색을 사용하는 경우
addOnOrigins필드에 나열되어야 합니다. 참고: 와일드 카드 하위 도메인이 허용됩니다. 예를 들면https://*.example.com입니다. 하지만 와일드 카드를 사용하지 않는 것이 좋습니다. 소유하지 않은 도메인이 있는 하위 도메인(예: 다음 소유자:web.app) Firebase로 이동합니다.