ऐड-ऑन सुरक्षा

इस पेज पर, तीसरे पक्ष के ऐड-ऑन के लिए सुरक्षा से जुड़ी ज़रूरी शर्तों के बारे में बताया गया है.

ऑरिजिन से जुड़ी पाबंदियां

ऑरिजिन, स्कीम (प्रोटोकॉल), होस्ट (डोमेन), और पोर्ट वाला यूआरएल होता है. जब दो यूआरएल एक ही स्कीम, होस्ट, और पोर्ट शेयर करते हैं, तो उनका ऑरिजिन एक जैसा होता है. सब-ऑरिजिन इस्तेमाल किए जा सकते हैं. ज़्यादा जानकारी के लिए, आरएफ़सी 6454 देखें.

इन संसाधनों का एक ही ऑरिजिन होता है, क्योंकि इनमें एक ही स्कीम, होस्ट, और पोर्ट कॉम्पोनेंट होते हैं:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

ऑरिजिन के साथ काम करते समय, ये पाबंदियां लागू होती हैं:

  1. आपके ऐड-ऑन के काम करने के लिए इस्तेमाल किए गए सभी ऑरिजिन को प्रोटोकॉल के तौर पर https का इस्तेमाल करना होगा.

  2. ऐड-ऑन मेनिफ़ेस्ट में मौजूद addOnOrigins फ़ील्ड में, उन ऑरिजिन की जानकारी होनी चाहिए जिनका इस्तेमाल आपका ऐड-ऑन कर रहा है.

    addOnOrigins फ़ील्ड में मौजूद एंट्री, सीएसपी होस्ट के सोर्स के साथ काम करने वाली वैल्यू की सूची होनी चाहिए. उदाहरण के लिए, https://*.addon.example.com या https://main-stage-addon.example.com:443. संसाधन के पाथ का इस्तेमाल नहीं किया जा सकता.

    इस सूची का इस्तेमाल इन कामों के लिए किया जाता है:

  3. अगर आपका ऐप्लिकेशन iframe में यूआरएल नेविगेशन का इस्तेमाल करता है, तो नेविगेट किए जा रहे सभी ऑरिजिन को addOnOrigins फ़ील्ड में शामिल किया जाना चाहिए. ध्यान दें कि वाइल्डकार्ड सबडोमेन इस्तेमाल करने की अनुमति है. उदाहरण के लिए, https://*.example.com. हालांकि, हमारा सुझाव है कि आप ऐसे डोमेन के साथ वाइल्डकार्ड सबडोमेन का इस्तेमाल न करें जिसका मालिकाना हक आपके पास न हो. जैसे, web.app, जिसका मालिकाना हक Firebase के पास है.