การรักษาความปลอดภัยเสริม

หน้านี้แสดงรายละเอียดข้อกำหนดด้านความปลอดภัยของส่วนเสริมของบุคคลที่สาม ที่ต้องทำให้สำเร็จ

การจำกัดต้นทาง

ต้นทางคือ URL ที่มีรูปแบบ (โปรโตคอล) โฮสต์ (โดเมน) และพอร์ต URL 2 รายการ มีต้นทางเหมือนกันเมื่อใช้รูปแบบ โฮสต์ และพอร์ตเดียวกัน อนุญาตต้นทางย่อย โปรดดูข้อมูลเพิ่มเติมที่ RFC 6454

ทรัพยากรเหล่านี้มีต้นทางเดียวกันเนื่องจากมีรูปแบบ โฮสต์ และโฮสต์เดียวกัน คอมโพเนนต์ของพอร์ต:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

ระบบจะบังคับใช้ข้อจำกัดต่อไปนี้เมื่อทำงานกับต้นทาง

1. ต้นทางทั้งหมดที่ใช้ในการดำเนินการ ส่วนเสริมของคุณต้องใช้ https เป็นโปรโตคอล

2. ฟิลด์ addOnOrigins ในส่วนเสริม ไฟล์ Manifest ต้องเป็น แสดงต้นทางที่ส่วนเสริมของคุณ ด้วย

   รายการในช่อง addOnOrigins ต้องเป็นรายการโฮสต์ CSP แหล่งที่มา ที่เข้ากันได้ เช่น https://*.addon.example.com หรือ https://main-stage-addon.example.com:443. แหล่งข้อมูล เส้นทาง ไม่สามารถใช้ได้

   รายการนี้ใช้เพื่อทำสิ่งต่อไปนี้

   • ตั้งค่า frame-src ของ iframe ที่มีแอปพลิเคชันของคุณ

   • ตรวจสอบ URL ที่ส่วนเสริมของคุณใช้อยู่ ต้นทางที่ใช้ในภาษาต่อไปนี้ต้องเป็นส่วนหนึ่งของต้นทาง แสดงในช่อง addOnOrigins ในไฟล์ Manifest

     • ช่อง sidePanelUri ในส่วนเสริม ไฟล์ Manifest สำหรับข้อมูลเพิ่มเติม โปรดดู สร้างส่วนเสริม Meet

     • sidePanelUrl และ mainStageUrl ใน AddonScreenshareInfo ออบเจ็กต์ สำหรับข้อมูลเพิ่มเติม โปรดดู โปรโมตส่วนเสริมให้ผู้ใช้ผ่านการแชร์หน้าจอ

     • sidePanelUrl และ mainStageUrl ใน CollaborationStartingState โปรดดูข้อมูลเพิ่มเติมที่หัวข้อใช้ค่าสถานะเริ่มต้นการทำงานร่วมกัน

   • ตรวจสอบต้นทางของเว็บไซต์ที่เรียกใช้ MeetAddonScreenshare.exposeToMeetWhenScreensharing

3. หากแอปพลิเคชันของคุณใช้การนำทาง URL ภายใน iframe ต้นทางทั้งหมดที่ ถูกนำทางไปและต้องปรากฏในฟิลด์ addOnOrigins โปรดทราบว่า อนุญาตให้ใช้โดเมนย่อยแบบไวลด์การ์ด ตัวอย่างเช่น https://*.example.com. อย่างไรก็ตาม เราไม่แนะนำให้ใช้ไวลด์การ์ด โดเมนย่อยที่มีโดเมนที่คุณไม่ได้เป็นเจ้าของ เช่น web.app ซึ่งมีโดเมนอยู่ Firebase