Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.
Restrições de origem
Uma origem é um URL com um esquema (protocolo), um host (domínio) e uma porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. As suborigens são permitidas. Para mais informações, consulte a RFC 6454.
Esses recursos compartilham a mesma origem, porque têm os mesmos componentes de esquema, host e porta:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
As seguintes restrições são aplicadas ao trabalhar com origens:
Todas as origens utilizadas na operação do seu complemento precisam usar
https
como protocolo.O campo
addOnOrigins
no manifesto do complemento precisa ser preenchido com as origens que o complemento está usando.As entradas no campo
addOnOrigins
precisam ser uma lista de valores compatíveis com a fonte de host do CSP. Por exemplo,https://*.addon.example.com
ouhttps://main-stage-addon.example.com:443
. Caminhos de recurso não são permitidos.Essa lista é usada para:
Defina o valor de
frame-src
dos iframes que contêm seu aplicativo.Valide os URLs que o complemento está usando. A origem usada nas localidades a seguir precisa fazer parte das origens listadas no campo
addOnOrigins
do manifesto:O campo
sidePanelUri
no manifesto do complemento. Para mais informações, consulte Implantar um complemento do Meet.As propriedades
sidePanelUrl
emainStageUrl
no objetoAddonScreenshareInfo
. Para mais informações, consulte Promover um complemento para os usuários com o compartilhamento de tela.As propriedades
sidePanelUrl
emainStageUrl
emActivityStartingState
. Para mais informações sobre o estado de início da atividade, consulte Colabore usando um complemento do Meet.
Valide a origem do site que está chamando o método
exposeToMeetWhenScreensharing()
.
Se o aplicativo usar a navegação de URL dentro do iframe, todas as origens para as quais a navegação está sendo feita precisam ser listadas no campo
addOnOrigins
. Os subdomínios de caractere curinga são permitidos. Por exemplo,https://*.example.com
. No entanto, recomendamos que você não use subdomínios curinga com um domínio que não é seu, comoweb.app
, que é propriedade do Firebase.