الأمان الإضافي

توضّح هذه الصفحة متطلبات الأمان التي يجب أن تستوفيها الإضافات التابعة لجهات خارجية.

القيود المفروضة على بلد المنشأ

المصدر هو عنوان URL يتضمّن مخططًا (بروتوكولاً) ومضيفًا (نطاقًا) ومنفذًا. يكون عنوانا URL من المصدر نفسه عندما يتشاركان المخطط والمضيف والمنفذ. يُسمح باستخدام المصادر الفرعية. لمزيد من المعلومات، يُرجى الاطّلاع على RFC 6454.

تتشارك هذه المراجع المصدر نفسه لأنّها تتضمّن المخطط والمضيف ومكوّنات المنفذ نفسها:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

يتم فرض القيود التالية عند العمل مع المصادر:

  1. يجب أن تستخدم جميع المصادر المستخدَمة في تشغيل الإضافة البروتوكول https.

  2. يجب ملء الحقل addOnOrigins في بيان الإضافة بالمصادر التي تستخدمها الإضافة.

    يجب أن تكون الإدخالات في الحقل addOnOrigins عبارة عن قائمة بقيم متوافقة مع مصدر مضيف CSP. على سبيل المثال، https://*.addon.example.com أو https://main-stage-addon.example.com:443. لا يُسمح بمسارات الموارد.

    تُستخدَم هذه القائمة في ما يلي:

  3. إذا كان تطبيقك يستخدم التنقّل عبر عناوين URL داخل إطار iframe، يجب إدراج جميع المصادر التي يتم التنقّل إليها في الحقل addOnOrigins. يُرجى العِلم أنّه يُسمح باستخدام النطاقات الفرعية ذات الأحرف البَديلة. على سبيل المثال، https://*.example.com. ومع ذلك، ننصح بشدة بعدم استخدام نطاقات فرعية ذات أحرف بدل مع نطاق لا تملكه، مثل web.app الذي تملكه Firebase.