Esta página foi traduzida pela API Cloud Translation.

Segurança de complementos

Esta página detalha os requisitos de segurança para complementos de terceiros precisam cumprir.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), host (domínio) e porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. Sub-origens são permitidas. Para mais informações, consulte RFC 6454.

Esses recursos compartilham a mesma origem, pois têm o mesmo esquema, host e componentes de porta:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

As seguintes restrições são aplicadas ao trabalhar com origens:

Todas as origens usadas na operação de o complemento precisa usar https como protocolo.
O campo addOnOrigins no complemento manifesto precisa ser preenchida com as origens do complemento usando.

As entradas no campo addOnOrigins precisam ser uma lista de hosts de CSP fonte valores compatíveis. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Recurso caminhos não são permitidos.

Essa lista é usada para:
- Defina o frame-src dos iframes que contêm seu aplicativo.
- Valide os URLs usados pelo complemento. A origem usada nas seguintes localidades precisa fazer parte das origens listados no campo addOnOrigins do manifesto:
  - O campo sidePanelUri no complemento manifesto do aplicativo. Para mais informações, consulte Criar um complemento do Meet.
  - sidePanelUrl e mainStageUrl na AddonScreenshareInfo objeto. Para mais informações, consulte Promova um complemento para os usuários usando o compartilhamento de tela.
  - sidePanelUrl e mainStageUrl na CollaborationStartingState. Veja mais informações em Usar o estado inicial de colaboração.
- Valide a origem do site que está chamando o MeetAddonScreenshare.exposeToMeetWhenScreensharing .
Caso seu aplicativo use navegação por URL dentro do iframe, todas as origens que estão sendo navegadas precisam ser listados no campo addOnOrigins. Observe que subdomínios com caracteres curinga são permitidos. Por exemplo, https://*.example.com. No entanto, não recomendamos o uso de caracteres subdomínios com um domínio que não é da sua propriedade, como web.app, que pertence a Firebase.