Segurança de complementos

Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), um host (domínio) e uma porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. As suborigens são permitidas. Para mais informações, consulte a RFC 6454.

Esses recursos compartilham a mesma origem, já que têm os mesmos componentes de esquema, host e porta:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

As restrições a seguir são aplicadas ao trabalhar com origens:

1. Todas as origens usadas na operação do seu complemento precisam usar https como protocolo.

2. O campo addOnOrigins no manifesto do complemento precisa ser preenchido com as origens que o complemento está usando.

   As entradas no campo addOnOrigins precisam ser uma lista de valores compatíveis com a fonte de host do CSP. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Caminhos de recursos não são permitidos.

   Essa lista é usada para:

   • Defina o valor de frame-src dos iframes que contêm seu aplicativo.

   • Valide os URLs que o complemento está usando. A origem usada nas localidades a seguir precisa fazer parte das origens listadas no campo addOnOrigins do manifesto:

     • O campo sidePanelUri no manifesto do complemento. Para mais informações, consulte Implantar um complemento do Meet.

     • As propriedades sidePanelUrl e mainStageUrl no objeto AddonScreenshareInfo. Para mais informações, consulte Promover um complemento para os usuários com o compartilhamento de tela.

     • As propriedades sidePanelUrl e mainStageUrl no ActivityStartingState. Para mais informações sobre o estado de início da atividade, consulte Colabore usando um complemento do Meet.

   • Valide a origem do site que está chamando o método exposeToMeetWhenScreensharing().

3. Se o aplicativo usar a navegação de URL dentro do iframe, todas as origens para as quais a navegação está sendo feita precisam ser listadas no campo addOnOrigins. Os subdomínios de caractere curinga são permitidos. Por exemplo, https://*.example.com. No entanto, recomendamos que você não use subdomínios curinga com um domínio que não é seu, como web.app, que é propriedade do Firebase.