Eklenti güvenliği

Bu sayfada, üçüncü taraf eklentilerinin karşılaması gereken güvenlik koşulları ayrıntılı olarak açıklanmaktadır.

Kaynak kısıtlamaları

Kaynak, şeması (protokol), ana makinesi (alan adı) ve bağlantı noktası olan bir URL'dir. Aynı şemayı, ana makineyi ve bağlantı noktasını paylaşan iki URL'nin kaynağı aynıdır. Alt kaynaklara izin verilir. Daha fazla bilgi için RFC 6454'e bakın.

Aşağıdaki kaynaklar aynı şema, ana makine ve bağlantı noktası bileşenlerine sahip oldukları için aynı kaynağı paylaşır:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

Kaynaklarla çalışırken aşağıdaki kısıtlamalar uygulanır:

  1. Eklentinizin çalışmasında kullanılan tüm kaynaklar, protokol olarak https kullanmalıdır.

  2. Eklenti manifestinde addOnOrigins alanı, eklentinizin kullandığı kaynaklarla doldurulmalıdır.

    addOnOrigins alanındaki girişler, CSP ana makine kaynağı ile uyumlu değerlerin bir listesi olmalıdır. Örneğin, https://*.addon.example.com veya https://main-stage-addon.example.com:443. Kaynak yollarına izin verilmez.

    Bu liste şu amaçlarla kullanılır:

  3. Uygulamanız iFrame içinde URL gezinme kullanıyorsa gidilmekte olan tüm kaynaklar addOnOrigins alanında listelenmelidir. Karanlık yıldız içeren alt alan adlarına izin verildiğini unutmayın. Örneğin, https://*.example.com. Ancak, size ait olmayan bir alanla (ör. Firebase'e ait web.app) joker karakterli alt alan adları kullanmamanızı önemle tavsiye ederiz.