Trang này trình bày chi tiết các yêu cầu bảo mật mà tiện ích bổ sung của bên thứ ba phải đáp ứng.
Quy định hạn chế về nguồn gốc
Nguồn gốc là một URL có lược đồ (giao thức), máy chủ (miền) và cổng. Hai URL có cùng nguồn gốc khi chúng có cùng lược đồ, máy chủ và cổng. Được phép sử dụng nguồn gốc phụ. Để biết thêm thông tin, hãy xem RFC 6454.
Các tài nguyên này có cùng nguồn gốc vì có cùng thành phần lược đồ, máy chủ và cổng:
https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html
Các quy tắc ràng buộc sau đây được thực thi khi làm việc với các nguồn gốc:
Tất cả nguồn gốc dùng trong hoạt động của tiện ích bổ sung phải sử dụng
https
làm giao thức.Bạn phải điền các nguồn gốc mà tiện ích bổ sung đang sử dụng vào trường
addOnOrigins
trong tệp kê khai tiện ích bổ sung.Các mục nhập trong trường
addOnOrigins
phải là danh sách các giá trị tương thích với nguồn máy chủ của CSP. Ví dụ:https://*.addon.example.com
hoặchttps://main-stage-addon.example.com:443
. Không được phép sử dụng đường dẫn tài nguyên.Danh sách này được dùng để:
Đặt giá trị
frame-src
của các iframe chứa ứng dụng.Xác thực các URL mà tiện ích bổ sung của bạn đang sử dụng. Nguồn gốc được dùng trong các ngôn ngữ sau phải là một phần của nguồn gốc được liệt kê trong trường
addOnOrigins
trong tệp kê khai:Trường
sidePanelUri
trong tệp kê khai của tiện ích bổ sung. Để biết thêm thông tin, hãy xem bài viết Triển khai tiện ích bổ sung cho Meet.Các thuộc tính
sidePanelUrl
vàmainStageUrl
trong đối tượngAddonScreenshareInfo
. Để biết thêm thông tin, hãy xem phần Quảng bá tiện ích bổ sung cho người dùng thông qua tính năng chia sẻ màn hình.Các thuộc tính
sidePanelUrl
vàmainStageUrl
trongActivityStartingState
. Để biết thêm thông tin về trạng thái bắt đầu hoạt động, hãy xem bài viết Collaborate using a Meet add-on (Tham gia cộng tác bằng tiện ích bổ sung Meet).
Xác thực nguồn gốc của trang web đang gọi phương thức
exposeToMeetWhenScreensharing()
.
Nếu ứng dụng của bạn sử dụng tính năng điều hướng URL bên trong iframe, thì tất cả các nguồn gốc đang được điều hướng đến phải được liệt kê trong trường
addOnOrigins
. Xin lưu ý rằng chúng tôi cho phép miền con ký tự đại diện. Ví dụ:https://*.example.com
. Tuy nhiên, bạn không nên sử dụng miền con ký tự đại diện với một miền mà bạn không sở hữu, chẳng hạn nhưweb.app
do Firebase sở hữu.