Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza aggiuntiva

Questa pagina illustra i requisiti di sicurezza che devono soddisfare i componenti aggiuntivi di terze parti.

Restrizioni relative all'origine

Un'origine è un URL con uno schema (protocollo), un host (dominio) e una porta. Due URL hanno la stessa origine quando condividono lo stesso schema, lo stesso host e la stessa porta. Le origini secondarie sono consentite. Per ulteriori informazioni, consulta la RFC 6454.

Queste risorse condividono la stessa origine in quanto hanno gli stessi componenti schema, host e porta:

https://www.example.com
https://www.example.com:443
https://www.example.com/sidePanel.html

Quando si utilizzano le origini, vengono applicati i seguenti vincoli:

Tutte le origini utilizzate per il funzionamento del tuo componente aggiuntivo devono utilizzare https come protocollo.
Il campo addOnOrigins nel manifesto del componente aggiuntivo deve essere compilato con le origini utilizzate dal componente aggiuntivo.

Le voci nel campo addOnOrigins devono essere un elenco di valori compatibili con l'origine dell'host del fornitore di servizi cloud. Ad esempio https://*.addon.example.com o https://main-stage-addon.example.com:443. I percorsi delle risorse non sono consentiti.

Questo elenco viene utilizzato per:
- Imposta il valore frame-src degli iframe contenenti la tua applicazione.
- Convalida gli URL utilizzati dal componente aggiuntivo. L'origine utilizzata nelle seguenti lingue deve far parte delle origini elencate nel campo addOnOrigins del file manifest:
  - Il campo sidePanelUri nel file manifest del componente aggiuntivo. Per ulteriori informazioni, consulta Eseguire il deployment di un componente aggiuntivo di Meet.
  - Le proprietà sidePanelUrl e mainStageUrl nell'oggetto AddonScreenshareInfo. Per ulteriori informazioni, consulta Promuovere un componente aggiuntivo agli utenti tramite la condivisione dello schermo.
  - Le proprietà sidePanelUrl e mainStageUrl in ActivityStartingState. Per ulteriori informazioni sullo stato di inizio dell'attività, consulta Collaborare utilizzando un componente aggiuntivo di Meet.
- Convalida l'origine del sito che chiama il metodo exposeToMeetWhenScreensharing().
Se la tua applicazione utilizza la navigazione dell'URL all'interno dell'iframe, tutte le origini a cui si accede devono essere elencate nel campo addOnOrigins. Tieni presente che i sottodomini con caratteri jolly sono consentiti. Ad esempio, https://*.example.com. Tuttavia, sconsigliamo vivamente di utilizzare sottodomini con caratteri jolly con un dominio che non possiedi, ad esempio web.app, di proprietà di Firebase.