このページでは、サードパーティ アドオンで満たす必要があるセキュリティ要件について詳しく説明します。
オリジンの制限
オリジンとは、スキーム(プロトコル)、ホスト(ドメイン)、ポートを持つ URL です。同じスキーム、ホスト、ポートを共有する 2 つの URL のオリジンは同じになります。サブオリジンは許可されます。詳細については、RFC 6454 をご覧ください。
これらのリソースは、スキーム、ホスト、ポート コンポーネントが同じであるため、同じオリジンを共有します。
https://example.com
https://example.com:80
https://*.example.com
オリジンを操作する場合、次の制約が適用されます。
アドオンのオペレーションで使用されるすべてのオリジンで、プロトコルとして
https
を使用する必要があります。アドオン マニフェストの
addOnOrigins
フィールドには、アドオンで使用しているオリジンを入力する必要があります。addOnOrigins
フィールドのエントリは、CSP ホストソースと互換性のある値のリストである必要があります。たとえば、https://*.addon.example.com
やhttps://main-stage-addon.example.com:443
です。このリストは以下の目的で使用されます。
アプリケーションを含む iframe の
frame-src
値を設定します。アドオンで使用されている URL を検証します。次のロケールで使用するオリジンは、マニフェストの
addOnOrigins
フィールドにリストされているオリジンの一部である必要があります。アドオン マニフェストの
sidePanelUri
フィールド詳細については、Meet アドオンを作成するをご覧ください。AddonScreenshareInfo
オブジェクトのsidePanelUrl
とmainStageUrl
。詳細については、画面共有を通じてユーザーにアドオンを宣伝するをご覧ください。CollaborationStartingState
のsidePanelUrl
とmainStageUrl
。詳しくは、コラボレーションの開始状態を使用するをご覧ください。
MeetAddonScreenshare.exposeToMeetWhenScreensharing
メソッドを呼び出しているサイトのオリジンを検証します。
アプリケーションで iframe 内で URL ナビゲーションを使用する場合、移動先のすべてのオリジンを
addOnOrigins
フィールドにリストする必要があります。