Segurança de complementos

Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), um host (domínio) e uma porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. As suborigens são permitidas. Para mais informações, consulte a RFC 6454.

Esses recursos compartilham a mesma origem, porque têm os mesmos componentes de esquema, host e porta:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

As seguintes restrições são aplicadas ao trabalhar com origens:

  1. Todas as origens utilizadas na operação do seu complemento precisam usar https como protocolo.

  2. O campo addOnOrigins no manifesto do complemento precisa ser preenchido com as origens que o complemento está usando.

    As entradas no campo addOnOrigins precisam ser uma lista de valores compatíveis com a fonte de host do CSP. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Caminhos de recurso não são permitidos.

    Essa lista é usada para:

  3. Se o aplicativo usar a navegação de URL dentro do iframe, todas as origens para as quais a navegação está sendo feita precisam ser listadas no campo addOnOrigins. Os subdomínios de caractere curinga são permitidos. Por exemplo, https://*.example.com. No entanto, recomendamos que você não use subdomínios curinga com um domínio que não é seu, como web.app, que é propriedade do Firebase.