我写了一个插件,让我们说它包含一些敏感信息,我只想与一群人分享,同时还保持为其分发更新的能力。
在我可以自我分发之前,需要将其上传到addons.mozilla.org才能进行签名,并且只要有新版本或更新,就需要指出更新清单文件。
我的更新文件如下所示:
{
"addons": {
"[email protected]": {
"updates": [
{ "version": "0.1",
"update_link" : "http://example.com/addon_update_v_0.1.xpi",
"update_hash" : "sha256:0FEE5D33C13546A599A54085DA6AC28FBF3D1678"
},
{ "version": "0.2",
"update_link" : "http://example.com/addon_update_v_0.2.xpi",
"update_hash" : "sha256:C7C067E755B51A0D09BEB25B463CD25CCE26C92C"
},
]
}
}
}
到现在为止还挺好。但我的主要插件清单文件包含一个update_url,导致一个不安全的地址,因此插件验证被拒绝:
"applications": {
"gecko": {
"id": "[email protected]",
"update_url": "http://example.com/addon_update.json"
}
}
Mozilla插件页面出错:
"/applications/gecko/update_url" should match format "secureUrl"
Error: Your JSON file could not be parsed.
我理解为什么会发生这种错误,但我正在寻找一种解决方法。只有在您拥有安全的服务器时才可以自行分发您的插件吗?
如果你还提供update_url,可以选择使用不安全的update_hash。
update_link指向的文件的加密哈希。如果update_link不是安全URL,则必须提供此选项。如果存在,则必须是以sha256:或sha512:开头的字符串,后跟匹配类型的十六进制编码哈希。
只有在您拥有安全的服务器时才可以自行分发您的插件吗?
是