本页详细介绍了第三方插件必须满足的安全要求。
来源限制
来源是指包含架构(协议)、主机(网域)和端口的网址。如果两个网址具有相同的架构、主机和端口,则它们具有相同的来源。 允许使用子来源。如需了解详情,请参阅 RFC 6454。
这些资源具有相同的架构、主机和端口组件,因此具有相同的来源:
https://www.example.comhttps://www.example.com:443https://www.example.com/sidePanel.html
使用来源时,系统会强制执行以下限制:
插件运行中使用的所有来源都必须使用
https作为协议。加购项清单中的
addOnOrigins字段必须填充加购项正在使用的来源。addOnOrigins字段中的条目必须是与 CSP 主机源兼容的值的列表。例如https://*.addon.example.com或https://main-stage-addon.example.com:443。不允许使用资源路径。此列表用于:
设置包含应用的 iframe 的
frame-src值。验证您的插件正在使用的网址。 以下语言区域中使用的来源必须是清单中
addOnOrigins字段内列出的来源:插件清单中的
sidePanelUri字段。如需了解详情,请参阅部署 Meet 加载项。AddonScreenshareInfo对象中的sidePanelUrl和mainStageUrl属性。如需了解详情,请参阅通过屏幕共享向用户推广插件。ActivityStartingState中的sidePanelUrl和mainStageUrl属性。 如需详细了解活动启动状态,请参阅 使用 Meet 插件进行协作。
验证调用
exposeToMeetWhenScreensharing()方法的网站的来源。
如果您的应用在 iframe 内使用网址导航,则所有导航到的来源都必须在
addOnOrigins字段中列出。请注意,系统允许使用通配符子网域。例如https://*.example.com。不过,我们强烈建议您不要在不属于自己的网域(例如web.app,该网域归 Firebase 所有)中使用通配符子网域。