אבטחת תוספים

בדף הזה מפורטות דרישות האבטחה שעל תוספים של צד שלישי לעמוד בהן.

הגבלות מקור

מקור הוא כתובת URL עם סכמה (פרוטוקול), מארח (דומיין) ויציאה. לשתי כתובות URL יש את אותו מקור אם הן חולקים את אותה סכימה, מארח ויציאה. מותר להשתמש במקורות משנה. מידע נוסף זמין ב-RFC 6454.

המשאבים האלה משותפים לאותו מקור כי יש להם את אותם רכיבי סכמה, מארח ויציאה:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

כשעובדים עם מקורות, המגבלות הבאות נאכפות:

1. הפרוטוקול חייב להיות ב-https בכל המקורות שמשמשים בפעולה של התוסף.

2. צריך לאכלס את השדה addOnOrigins במניפסט של התוסף במקורות שבהם התוסף משתמש.

   הרשומות בשדה addOnOrigins חייבות להיות רשימה של ערכים תואמים למקור מארח של CSP. לדוגמה https://*.addon.example.com או https://main-stage-addon.example.com:443. אסור להשתמש בנתיבי משאבים.

   הרשימה הזו משמשת לדברים הבאים:

   • מגדירים את הערך frame-src של מסגרות ה-iframe שמכילות את האפליקציה.

   • מאמתים את כתובות ה-URL שבהן התוסף משתמש. המקור שמשמש בשפנים הבאות חייב להיות חלק מהמקורות שמפורטים בשדה addOnOrigins במניפסט:

     • השדה sidePanelUri במניפסט של התוסף. פריסה של תוסף ל-Meet

     • המאפיינים sidePanelUrl ו-mainStageUrl באובייקט AddonScreenshareInfo. למידע נוסף, ראו קידום תוספים למשתמשים באמצעות שיתוף המסך.

     • המאפיינים sidePanelUrl ו-mainStageUrl ב-ActivityStartingState. מידע נוסף על מצב הפעילות בזמן ההתחלה זמין במאמר שיתוף פעולה באמצעות תוסף ל-Meet.

   • מוודאים שהמקור של האתר שמפעיל את השיטה exposeToMeetWhenScreensharing() הוא אמין.

3. אם האפליקציה משתמשת בניווט לכתובות URL בתוך ה-iframe, כל המקורות שאליהם מתבצע הניווט חייבים להופיע בשדה addOnOrigins. חשוב לזכור שאפשר להשתמש בתת-דומיינים עם תווים כלליים. לדוגמה, https://*.example.com. עם זאת, מומלץ מאוד לא להשתמש בתת-דומיינים עם תווים כלליים בדומיין שאינו בבעלותכם, כמו web.app שבבעלות Firebase.