Considérations relatives à la sécurité permettant de script personnalisé

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Autoriser les utilisateurs à personnaliser des sites et pages de SharePoint en insérant le script peut leur donner que la possibilité d’adresse différente a besoin de votre organisation. Toutefois, vous devez être prenant en charge les implications de sécurité de script personnalisé. Lorsque vous accordez aux utilisateurs d’exécuter un script personnalisé, vous pouvez n’est plus appliquer gouvernance, étendre les fonctionnalités du code inséré, bloquer certaines parties du code ou bloquer tout le code personnalisé qui a été déployé. Au lieu de laisser un script personnalisé, nous recommandons d’utiliser la SharePoint Framework. Pour plus d’informations, reportez-vous à la place un script personnalisé.

Quel script personnalisé possibles

Chaque script qui s’exécute dans une page SharePoint (il s'est une page HTML dans une bibliothèque de documents ou un script JavaScript dans un composant WebPart Script Editor) toujours s’exécute dans le contexte de l’utilisateur que vous visitez la page et l’application SharePoint. Cela signifie que :

  • Les scripts ont accès à tout ce que l’utilisateur a accès à.

  • Scripts peuvent accéder aux contenus entre plusieurs services Office 365 et même au-delà avec l’intégration de Microsoft Graph.

Vous ne pouvez pas effectuer un audit l’insertion de script

Comme un administrateur général, administrateur de sécurité ou d’administration SharePoint, vous pouvez autoriser ou bloquer les fonctionnalités de script personnalisé pour l’ensemble de votre organisation ou pour les collections de sites spécifiques. (Pour plus d’informations sur la façon de procéder, voir Autoriser ou empêcher un script personnalisé.) Toutefois, une fois que vous autorisez l’écriture de scripts, vous ne pouvez pas identifier :

  • Le code qui a été inséré

  • Où le code a été inséré

  • Qui a inséré le code

Tout utilisateur ayant l’autorisation « Ajouter et personnaliser des Pages » (partie des niveaux d’autorisation contrôle total et création) à une bibliothèque de documents ou de page insèrent du code peut avoir une incidence puissante sur tous les utilisateurs et ressources dans votre organisation. Le script peut accéder à plus que la page ou le site - il peut accéder à contenu sur toutes les collections de sites et d’autres services Office 365 dans votre organisation. Il n’existe aucune limite pour l’exécution de script. Pour plus d’informations sur l’activité du site, vous pouvez d’audit, voir configurer les paramètres d’audit pour une collection de sites.

Vous ne pouvez pas bloquer ou supprimer script inséré

Si vous avez autorisé un script personnalisé, vous pouvez modifier le paramètre ultérieurement empêcher les utilisateurs d’ajout d’un script personnalisé, mais vous ne pouvez pas bloquer l’exécution de script qui a déjà été inséré. Si le script dangereux ou malveillant a été inséré, la seule façon de vous pouvez arrêter consiste à supprimer la page qui héberge. Cela peut entraîner la perte de données.

Une suggestion pour un script personnalisé

L' Infrastructure de SharePoint est un modèle de composant web et page qui fournit un moyen régi et entièrement pris en charge pour créer des solutions à l’aide de technologies de script avec prise en charge pour les outils d’ouvrir la source. Fonctionnalités clés de la SharePoint Framework :

  • Le cadre s’exécute dans le contexte de l’utilisateur actuel et la connexion dans le navigateur. Il n’utilise pas les iFrames.

  • Les contrôles sont rendus dans la page normale Document DOM (Object Model).

  • Les contrôles sont accessibles et injoignable.

  • Les développeurs peuvent accéder le cycle de vie. En plus de rendu, ils peuvent accéder à charger, sérialiser et désérialiser, les modifications de configuration et bien plus encore.

  • Vous pouvez utiliser toute infrastructure de navigateur vous aimez : réagir, guidons, masquage, AngularJS et bien plus encore.

  • Le toolchain est basé sur les outils de développement de clients courantes ouvrir la source comme npm, machine à écrire, Yeoman, webpack et choses.

  • Administrateurs Office 365 disposent d’outils de gouvernance pour désactiver immédiatement solutions quel que soit le nombre d’instances qui ont été utilisés et le nombre de pages ou de sites sur laquelle ils ont été utilisés.

  • Solutions peuvent être déployées dans les composants WebPart et pages qui utilisent l’expérience classique ou la nouvelle expérience.

  • Uniquement les administrateurs généraux, les administrateurs SharePoint et les personnes qui disposent de l’autorisation de gérer le catalogue peuvent ajouter des solutions. (Pour plus d’informations sur l’octroi d’autorisation pour gérer le catalogue d’applications, voir demander des autorisations d’installation des applications).

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×