我可以在不安全的服务器上自行分发Firefox Web扩展

Posted 2021-03-28

我写了一个插件，让我们说它包含一些敏感信息，我只想与一群人分享，同时还保持为其分发更新的能力。

在我可以自我分发之前，需要将其上传到addons.mozilla.org才能进行签名，并且只要有新版本或更新，就需要指出更新清单文件。

我的更新文件如下所示：

{
  "addons": {
    "my_private_addon@example.com": {
      "updates": [
        { "version": "0.1",
          "update_link" : "http://example.com/addon_update_v_0.1.xpi",
          "update_hash" : "sha256:0FEE5D33C13546A599A54085DA6AC28FBF3D1678"
        },
        { "version": "0.2",
          "update_link" : "http://example.com/addon_update_v_0.2.xpi",
          "update_hash" : "sha256:C7C067E755B51A0D09BEB25B463CD25CCE26C92C"
        },
      ]
    }
  }
}

到现在为止还挺好。但我的主要插件清单文件包含一个update_url，导致一个不安全的地址，因此插件验证被拒绝：

"applications": {
    "gecko": {
        "id": "my_private_addon@example.com",
        "update_url": "http://example.com/addon_update.json"
    }
}

Mozilla插件页面出错：

"/applications/gecko/update_url" should match format "secureUrl"

Error: Your JSON file could not be parsed.

我理解为什么会发生这种错误，但我正在寻找一种解决方法。只有在您拥有安全的服务器时才可以自行分发您的插件吗？

答案

如果你还提供update_url，可以选择使用不安全的update_hash。

update_link指向的文件的加密哈希。如果update_link不是安全URL，则必须提供此选项。如果存在，则必须是以sha256:或sha512:开头的字符串，后跟匹配类型的十六进制编码哈希。

更多信息：https://developer.mozilla.org/en-US/Add-ons/Updates

另一答案

只有在您拥有安全的服务器时才可以自行分发您的插件吗？

是