アドオンのセキュリティ

このページでは、サードパーティ製アドオンが満たす必要があるセキュリティ要件について詳しく説明します。

送信元の制限

オリジンは、スキーム(プロトコル)、ホスト(ドメイン)、ポートを含む URL です。2 つの URL のスキーム、ホスト、ポートが同じ場合、その 2 つの URL のオリジンは同じです。サブオリジンは許可されます。詳細については、RFC 6454 をご覧ください。

これらのリソースは、スキーム、ホスト、ポートのコンポーネントが同じであるため、同じオリジンを共有します。

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

オリジンを操作する場合は、次の制約が適用されます。

  1. アドオンの運用で使用されるすべてのオリジンは、プロトコルとして https を使用する必要があります。

  2. アドオン マニフェストaddOnOrigins フィールドには、アドオンが使用しているオリジンを入力する必要があります。

    addOnOrigins フィールドのエントリは、CSP ホストソースと互換性のある値のリストにする必要があります。たとえば、https://*.addon.example.comhttps://main-stage-addon.example.com:443 です。リソースパスは使用できません。

    このリストは次の目的で使用されます。

  3. アプリケーションで iframe 内の URL ナビゲーションを使用する場合は、ナビゲート先のすべてのオリジンを addOnOrigins フィールドに指定する必要があります。ワイルドカード サブドメインは許可されます。例: https://*.example.comただし、Firebase が所有する web.app など、所有していないドメインでワイルドカード サブドメインを使用することはおすすめしません。