Esta página foi traduzida pela API Cloud Translation.

Segurança de complementos

Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), um host (domínio) e uma porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. As suborigens são permitidas. Para mais informações, consulte a RFC 6454.

Esses recursos compartilham a mesma origem, porque têm os mesmos componentes de esquema, host e porta:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

As seguintes restrições são aplicadas ao trabalhar com origens:

Todas as origens utilizadas na operação do seu complemento precisam usar https como protocolo.
O campo addOnOrigins no manifesto do complemento precisa ser preenchido com as origens que o complemento está usando.

As entradas no campo addOnOrigins precisam ser uma lista de valores compatíveis com a fonte de host do CSP. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Caminhos de recurso não são permitidos.

Essa lista é usada para:
- Defina o valor de frame-src dos iframes que contêm seu aplicativo.
- Valide os URLs que o complemento está usando. A origem usada nas localidades a seguir precisa fazer parte das origens listadas no campo addOnOrigins do manifesto:
  - O campo sidePanelUri no manifesto do complemento. Para mais informações, consulte Implantar um complemento do Meet.
  - As propriedades sidePanelUrl e mainStageUrl no objeto AddonScreenshareInfo. Para mais informações, consulte Promover um complemento para os usuários com o compartilhamento de tela.
  - As propriedades sidePanelUrl e mainStageUrl em ActivityStartingState. Para mais informações sobre o estado de início da atividade, consulte Colabore usando um complemento do Meet.
- Valide a origem do site que está chamando o método exposeToMeetWhenScreensharing().
Se o aplicativo usar a navegação de URL dentro do iframe, todas as origens para as quais a navegação está sendo feita precisam ser listadas no campo addOnOrigins. Os subdomínios de caractere curinga são permitidos. Por exemplo, https://*.example.com. No entanto, recomendamos que você não use subdomínios curinga com um domínio que não é seu, como web.app, que é propriedade do Firebase.