امنیت افزودنی

این صفحه الزامات امنیتی را که افزونه های شخص ثالث باید انجام دهند، شرح می دهد.

محدودیت های مبدا

مبدا یک URL با طرح (پروتکل)، میزبان (دامنه) و پورت است. دو URL زمانی که طرح، میزبان و پورت یکسانی را به اشتراک می گذارند، منشأ یکسانی دارند. منابع فرعی مجاز هستند. برای اطلاعات بیشتر، RFC 6454 را ببینید.

این منابع منشا یکسانی دارند زیرا دارای اجزای طرح، میزبان و پورت یکسان هستند:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

محدودیت های زیر هنگام کار با مبدا اعمال می شود:

  1. تمام منابع مورد استفاده در عملکرد افزونه شما باید https به عنوان پروتکل استفاده کنند.

  2. قسمت addOnOrigins در مانیفست الحاقی باید با مبداهایی که افزونه شما استفاده می‌کند پر شود.

    ورودی‌های فیلد addOnOrigins باید فهرستی از مقادیر سازگار منبع میزبان CSP باشد. برای مثال https://*.addon.example.com یا https://main-stage-addon.example.com:443 . مسیرهای منبع مجاز نیستند.

    این لیست برای موارد زیر استفاده می شود:

  3. اگر برنامه شما از پیمایش URL در داخل iframe استفاده می کند، همه مبداهایی که به آنها پیمایش می شوند باید در قسمت addOnOrigins فهرست شوند. توجه داشته باشید که زیر دامنه های wildcard مجاز هستند. به عنوان مثال، https://*.example.com . با این حال، اکیداً توصیه می‌کنیم از زیردامنه‌های wildcard با دامنه‌ای که شما مالک آن نیستید استفاده نکنید، مانند web.app که متعلق به Firebase است.