Add-on-Sicherheit

Auf dieser Seite werden die Sicherheitsanforderungen beschrieben, die Add-ons von Drittanbietern erfüllen müssen.

Einschränkungen für den Ursprung

Ein Ursprung ist eine URL mit einem Schema (Protokoll), einem Host (Domain) und einem Port. Zwei URLs haben denselben Ursprung, wenn sie dasselbe Schema, denselben Host und denselben Port verwenden. Untergeordnete Ursprünge sind zulässig. Weitere Informationen finden Sie unter RFC 6454.

Diese Ressourcen haben denselben Ursprung, da sie dieselben Schema-, Host- und Portkomponenten haben:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Bei der Arbeit mit Ursprüngen gelten die folgenden Einschränkungen:

1. Alle Ursprünge, die für den Betrieb Ihres Add-ons verwendet werden, müssen https als Protokoll verwenden.

2. Das Feld addOnOrigins im Add-on-Manifest muss mit den Quellen ausgefüllt werden, die von Ihrem Add-on verwendet werden.

   Die Einträge im Feld addOnOrigins müssen eine Liste von Werten sein, die mit CSP-Hostquellen kompatibel sind. Beispiel: https://*.addon.example.com oder https://main-stage-addon.example.com:443. Ressourcenpfade sind nicht zulässig.

   Diese Liste wird für Folgendes verwendet:

   • Legen Sie den Wert frame-src der iFrames fest, die Ihre Anwendung enthalten.

   • Prüfen Sie die URLs, die von Ihrem Add-on verwendet werden. Der Ursprung, der in den folgenden Gebietsschemas verwendet wird, muss Teil der Ursprünge sein, die im Manifest im Feld addOnOrigins aufgeführt sind:

     • Das Feld sidePanelUri im Add-on-Manifest. Weitere Informationen finden Sie unter Meet-Add-on bereitstellen.

     • Die Properties sidePanelUrl und mainStageUrl im Objekt AddonScreenshareInfo. Weitere Informationen finden Sie unter Add-on für Nutzer über die Bildschirmfreigabe bewerben.

     • Die Properties sidePanelUrl und mainStageUrl in ActivityStartingState. Weitere Informationen zum Startstatus von Aktivitäten finden Sie unter Zusammenarbeiten mit einem Meet-Add‑on.

   • Validieren Sie den Ursprung der Website, die die Methode exposeToMeetWhenScreensharing() aufruft.

3. Wenn in Ihrer Anwendung die URL-Navigation im iFrame verwendet wird, müssen alle Ursprünge, zu denen navigiert wird, im Feld addOnOrigins aufgeführt werden. Platzhalter-Subdomains sind zulässig. Beispiel: https://*.example.com Wir raten jedoch dringend davon ab, Platzhalter-Subdomains mit einer Domain zu verwenden, die Ihnen nicht gehört, z. B. web.app, die Firebase gehört.