Эта страница переведена с помощью Cloud Translation API.

Дополнительная безопасность

На этой странице подробно описаны требования безопасности, которым должны соответствовать сторонние надстройки.

Ограничения происхождения

Источник — это URL-адрес со схемой (протоколом), хостом (доменом) и портом. Два URL-адреса имеют одинаковое происхождение, если они используют одну и ту же схему, хост и порт. Суб-источники разрешены. Дополнительную информацию см. в RFC 6454 .

Эти ресурсы имеют один и тот же источник, поскольку у них одинаковые компоненты схемы, хоста и порта:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

При работе с источниками применяются следующие ограничения:

Все источники , используемые в работе вашего дополнения, должны использовать https в качестве протокола.
Поле addOnOrigins в манифесте надстройки должно быть заполнено источниками, которые использует ваша надстройка.
Записи в поле addOnOrigins должны представлять собой список значений, совместимых с источником хоста CSP . Например https://*.addon.example.com или https://main-stage-addon.example.com:443 . Пути к ресурсам не допускаются.
Этот список используется для:
- Установите frame-src для iframe, содержащего ваше приложение.
- Проверьте URL-адреса, которые использует ваше дополнение. Источник, используемый в следующих локалях, должен быть частью источников, перечисленных в поле addOnOrigins манифеста:
  - sidePanelUri в манифесте надстройки. Дополнительную информацию см. в разделе Создание дополнения Meet .
  - sidePanelUrl и mainStageUrl в объекте AddonScreenshareInfo . Дополнительные сведения см. в разделе Продвижение надстройки среди пользователей посредством совместного использования экрана .
  - sidePanelUrl и mainStageUrl в CollaborationStartingState . Дополнительные сведения см. в разделе Использование начального состояния сотрудничества .
- Проверьте происхождение сайта, вызывающего метод MeetAddonScreenshare.exposeToMeetWhenScreensharing .
Если ваше приложение использует навигацию по URL-адресу внутри iframe, все источники, к которым осуществляется переход, должны быть перечислены в поле addOnOrigins . Обратите внимание, что субдомены с подстановочными знаками разрешены. Например, https://*.example.com . Однако мы настоятельно не рекомендуем использовать подстановочные поддомены с доменом, которым вы не владеете, например web.app , принадлежащим Firebase.