Tools

Показати віджет

show_widget відображає самодостатній фрагмент SVG або HTML безпосередньо в журналі чату Control UI. Вбудований Plugin Canvas є власником інструмента та розміщує кожен результат як документ Canvas із тим самим джерелом.

Інструмент доступний, лише коли початковий клієнт Gateway оголошує можливість inline-widgets. Control UI оголошує цю можливість автоматично. Запуски через такі канали, як Telegram і WhatsApp, не отримують show_widget.

Передавання можливостей охоплює вбудовані серверні частини моделей, серверні частини на основі сервера застосунків Codex і CLI. Виклики MCP з автентифікацією через дозвіл і прямі HTTP-виклики інструментів залишаються забороненими за замовчуванням, оскільки вони не оголошують можливості клієнта.

Використання інструмента

Агент передає два обов’язкові рядки:

titlestringrequired

Короткий заголовок, що відображається разом із вбудованим попереднім переглядом і як заголовок розміщеного документа.

widget_codestringrequired

Самодостатній фрагмент SVG або HTML. Вхідні дані, які після видалення пробілів на початку й у кінці починаються з <svg, відображаються в режимі SVG; усі інші вхідні дані обробляються як фрагмент HTML. Максимальна довжина: 262 144 символи.

Результат інструмента містить дескриптор попереднього перегляду Canvas, тому вебчат відображає віджет безпосередньо з виклику інструмента та відновлює його після перезавантаження історії. Журнали, які не відображають попередній перегляд, усе одно показують шлях до розміщеного документа Canvas.

Безпека та зберігання

Документи віджетів використовують обмежувальну політику безпеки вмісту: вбудовані стилі та сценарії дозволені, зображення можуть використовувати URL-адреси data:, а зовнішні запити й завантаження ресурсів заблоковані. Зберігайте всю розмітку, стилі, сценарії та дані зображень усередині widget_code.

В iframe завжди відсутній атрибут allow-same-origin, навіть коли глобальний режим вбудовування Control UI має значення trusted, тому сценарії віджета не можуть читати джерело батьківського застосунку. Хост Canvas також надає документи віджетів із заголовком відповіді Content-Security-Policy: sandbox allow-scripts, тому навіть у разі прямого відкриття розміщеної URL-адреси віджет виконується в непрозорому джерелі, а не в джерелі Control UI. Ізоляція браузера не забороняє сценарію перенаправляти власний iframe; відображайте лише код віджета, який ви готові виконувати в цьому ізольованому фреймі.

iframe також дотримується налаштування gateway.controlUi.embedSandbox. Стандартний рівень scripts підтримує інтерактивні віджети, зберігаючи ізоляцію джерела.

Canvas зберігає не більше 32 віджетів на сеанс (або на агента, якщо сеанс недоступний). Створення нового віджета видаляє найстаріший документ у цій області.

Пов’язане

Was this useful?
On this page

On this page