Eklenti güvenliği

Bu sayfada, üçüncü taraf eklentilerinin karşılaması gereken güvenlik koşulları ayrıntılı olarak açıklanmaktadır.

Kaynak kısıtlamaları

Kaynak, şeması (protokol), ana makinesi (alan adı) ve bağlantı noktası olan bir URL'dir. Aynı şemayı, ana makineyi ve bağlantı noktasını paylaşan iki URL aynı kaynağa sahiptir. Alt kaynaklara izin verilir. Daha fazla bilgi için RFC 6454'e bakın.

Bu kaynaklar aynı şema, ana makine ve bağlantı noktası bileşenlerine sahip oldukları için aynı kaynağı paylaşır:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

Kaynaklarla çalışırken aşağıdaki kısıtlamalar uygulanır:

1. Eklentinizin çalıştırılmasında kullanılan tüm kaynaklar, protokol olarak https kullanmalıdır.

2. Eklenti manifestosundaki addOnOrigins alanı, eklentinizin kullandığı kaynaklarla doldurulmalıdır.

   addOnOrigins alanındaki girişler, CSP ana makine kaynağı ile uyumlu değerlerin listesi olmalıdır. Örneğin, https://*.addon.example.com veya https://main-stage-addon.example.com:443. Kaynak yollarına izin verilmez.

   Bu liste şu amaçlarla kullanılır:

   • Uygulamanızı içeren iFrame'lerin frame-src değerini ayarlayın.

   • Eklentinizin kullandığı URL'leri doğrulayın. Aşağıdaki yerel ayarlarda kullanılan kaynak, bildirideki addOnOrigins alanında listelenen kaynaklardan biri olmalıdır:

     • Eklenti manifest dosyasındaki sidePanelUri alanı. Daha fazla bilgi için Meet eklentisi dağıtma başlıklı makaleyi inceleyin.

     • AddonScreenshareInfo nesnesindeki sidePanelUrl ve mainStageUrl özellikleri. Daha fazla bilgi için Eklentileri ekran paylaşımı aracılığıyla kullanıcılara tanıtma başlıklı makaleyi inceleyin.

     • ActivityStartingState içindeki sidePanelUrl ve mainStageUrl özellikleri. Etkinlik başlatma durumu hakkında daha fazla bilgi için Meet eklentilerini kullanarak işbirliği yapma başlıklı makaleyi inceleyin.

   • exposeToMeetWhenScreensharing() yöntemini çağıran sitenin kaynağını doğrulayın.

3. Uygulamanız iFrame içinde URL gezinmesi kullanıyorsa gezinilen tüm kaynaklar addOnOrigins alanında listelenmelidir. Joker karakterli alt alan adlarına izin verildiğini unutmayın. Örneğin, https://*.example.com. Ancak, Firebase'e ait olan web.app gibi, sahibi olmadığınız bir alanla joker karakterli alt alanlar kullanmanızı kesinlikle önermiyoruz.