Segurança de complementos

Esta página detalha os requisitos de segurança que os complementos de terceiros precisam atender.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), host (domínio) e porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. Suborigens são permitidas. Para mais informações, consulte a RFC 6454 (em inglês).

Esses recursos compartilham a mesma origem porque têm os mesmos componentes de esquema, host e porta:

• https://www.example.com
• https://www.example.com:443
• https://www.example.com/sidePanel.html

As seguintes restrições são aplicadas ao trabalhar com origens:

1. Todas as origens usadas na operação do complemento precisam usar https como protocolo.

2. O campo addOnOrigins no manifesto do complemento precisa ser preenchido com as origens que o complemento está usando.

   As entradas no campo addOnOrigins precisam ser uma lista de valores compatíveis com fonte de host CSP. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Não é permitido usar caminhos de recursos.

   Essa lista é usada para:

   • Defina o valor frame-src dos iframes que contêm seu aplicativo.

   • Valide os URLs que seu complemento está usando. A origem usada nos seguintes locais precisa fazer parte das origens listadas no campo addOnOrigins do manifesto:

     • O campo sidePanelUri no manifesto do complemento. Para mais informações, consulte Implantar um complemento do Meet.

     • As propriedades sidePanelUrl e mainStageUrl no objeto AddonScreenshareInfo. Para mais informações, consulte Promover um complemento para os usuários por compartilhamento de tela.

     • As propriedades sidePanelUrl e mainStageUrl no ActivityStartingState. Para mais informações sobre o estado inicial da atividade, consulte Colaborar usando um complemento do Meet.

   • Valide a origem do site que está chamando o método exposeToMeetWhenScreensharing().

3. Se o aplicativo usar a navegação por URL dentro do iframe, todas as origens para as quais está sendo feita a navegação precisam ser listadas no campo addOnOrigins. Os subdomínios com caracteres curinga são permitidos. Por exemplo, https://*.example.com. No entanto, não recomendamos o uso de subdomínios curinga com um domínio que não é seu, como web.app, que pertence ao Firebase.