Keamanan add-on

Halaman ini menjelaskan persyaratan keamanan yang harus dipenuhi oleh add-on pihak ketiga.

Batasan asal

Origin adalah URL dengan skema (protokol), host (domain), dan port. Dua URL memiliki origin yang sama jika keduanya memiliki skema, host, dan port yang sama. Sub-origin diizinkan. Untuk mengetahui informasi selengkapnya, lihat RFC 6454.

Resource ini memiliki origin yang sama karena memiliki komponen skema, host, dan port yang sama:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Batasan berikut diterapkan saat bekerja dengan origin:

1. Semua origin yang digunakan dalam pengoperasian add-on Anda harus menggunakan https sebagai protokol.

2. Kolom addOnOrigins di manifes add-on harus diisi dengan asal yang digunakan add-on Anda.

   Entri di kolom addOnOrigins harus berupa daftar nilai yang kompatibel dengan sumber host CSP. Misalnya, https://*.addon.example.com atau https://main-stage-addon.example.com:443. Jalur resource tidak diizinkan.

   Daftar ini digunakan untuk:

   • Tetapkan nilai frame-src iframe yang berisi aplikasi Anda.

   • Validasi URL yang digunakan add-on Anda. Asal yang digunakan di lokalitas berikut harus menjadi bagian dari asal yang tercantum di kolom addOnOrigins dalam manifes:

     • Kolom sidePanelUri di manifes add-on. Untuk mengetahui informasi selengkapnya, lihat Men-deploy add-on Meet.

     • Properti sidePanelUrl dan mainStageUrl dalam objek AddonScreenshareInfo. Untuk mengetahui informasi selengkapnya, lihat Mempromosikan add-on kepada pengguna melalui berbagi layar.

     • Properti sidePanelUrl dan mainStageUrl di ActivityStartingState. Untuk mengetahui informasi selengkapnya tentang status awal aktivitas, lihat Berkolaborasi menggunakan add-on Meet.

   • Memvalidasi asal situs yang memanggil metode exposeToMeetWhenScreensharing().

3. Jika aplikasi Anda menggunakan navigasi URL di dalam iframe, semua origin yang dituju harus dicantumkan di kolom addOnOrigins. Perhatikan bahwa subdomain karakter pengganti diizinkan. Misalnya, https://*.example.com. Namun, sebaiknya jangan gunakan subdomain wildcard dengan domain yang bukan milik Anda, seperti web.app yang dimiliki oleh Firebase.