Pertimbangan keamanan memungkinkan skrip kustom

Catatan:  Kami ingin secepatnya menyediakan konten bantuan terbaru dalam bahasa Anda. Halaman ini diterjemahkan menggunakan mesin dan mungkin terdapat kesalahan tata bahasa atau masalah keakuratan. Kami bertujuan menyediakan konten yang bermanfaat untuk Anda. Dapatkah Anda memberi tahu kami apakah informasi ini bermanfaat untuk Anda di bagian bawah halaman ini? Berikut artikel dalam bahasa Inggris untuk referensi.

Memungkinkan pengguna untuk mengkustomisasi situs dan halaman di SharePoint dengan menyisipkan skrip bisa memberikan fleksibilitas ke alamat yang berbeda memerlukan di organisasi Anda. Namun, Anda harus mengetahui implikasi skrip kustom. Saat Anda memperbolehkan pengguna menjalankan skrip kustom, Anda bisa tidak lagi menerapkan tata kelola, kapabilitas disisipkan kode lingkup, memblokir bagian tertentu dari kode atau memblokir semua kode kustom yang telah ditempatkan. Sebagai ganti skrip kustom, kami menyarankan Anda menggunakan SharePoint kerangka. Untuk informasi selengkapnya, lihat alternatif untuk skrip kustom.

Skrip kustom apa yang bisa lakukan

Setiap skrip yang berjalan di halaman SharePoint (Apakah ada halaman HTML di pustaka dokumen atau JavaScript dalam komponen Web Editor skrip) selalu berjalan dalam konteks pengguna mengunjungi halaman dan aplikasi SharePoint . Ini berarti:

  • Skrip memiliki akses ke semua pengguna memiliki akses ke.

  • Skrip bisa mengakses konten di beberapa layanan Office 365 dan bahkan di luar dengan integrasi Microsoft Graph.

Anda tidak bisa audit penyisipan skrip

Sebagai global admin, admin keamanan, atau SharePoint admin, Anda bisa memperbolehkan atau memblokir kapabilitas skrip kustom untuk seluruh organisasi atau untuk kumpulan situs tertentu. (Untuk informasi tentang cara melakukan ini, lihat Perbolehkan atau mencegah skrip kustom.) Namun, setelah Anda memperbolehkan scripting, Anda tidak bisa mengidentifikasi:

  • Kode apa telah disisipkan

  • Di mana kode yang telah disisipkan

  • Yang disisipkan kode

Semua pengguna yang memiliki izin "Menambahkan dan mengkustomisasi halaman" (bagian dari tingkat izin desain dan kontrol penuh) untuk setiap halaman atau pustaka dokumen bisa menyisipkan kode yang berpotensi bisa memiliki efek kuat pada semua pengguna dan sumber daya di dalam organisasi. Skrip yang memiliki akses ke lebih dari sekadar halaman atau situs - bisa mengakses konten di semua kumpulan situs dan layanan Office 365 lainnya di dalam organisasi. Ada ada batasan untuk menjalankan skrip. Untuk informasi tentang aktivitas situs, Anda bisa audit, lihat mengonfigurasi pengaturan audit untuk kumpulan situs.

Anda tidak bisa memblokir atau menghapus disisipkan skrip

Jika Anda telah diperbolehkan skrip kustom, Anda bisa mengubah pengaturan untuk nanti mencegah pengguna menambahkan skrip kustom, tapi Anda tidak bisa memblokir eksekusi skrip yang sudah disisipkan. Jika skrip berbahaya atau berbahaya disisipkan, satu-satunya cara Anda bisa berhenti adalah untuk menghapus halaman yang menjadi host tersebut. Ini mungkin mengakibatkan kehilangan data.

Alternatif untuk skrip kustom

Kerangka SharePoint adalah model komponen web dan halaman yang menyediakan cara diatur dan didukung untuk membangun solusi teknologi scripting dengan dukungan untuk alat buka sumber. Fitur kunci dari SharePoint Framework:

  • Kerangka kerja berjalan dalam konteks saat ini pengguna dan koneksi di browser. Tidak menggunakan iframe.

  • Kontrol disajikan di halaman normal dokumen Object Model (DOM).

  • Kontrol responsif dan dapat diakses.

  • Pengembang bisa mengakses siklus. Selain render, mereka dapat mengakses muat, cerita bersambung dan deserialize, perubahan konfigurasi, dan lainnya.

  • Anda bisa menggunakan kerangka browser apa pun yang Anda sukai: bereaksi, setang, Ko, AngularJS, dan lainnya.

  • Toolchain didasarkan pada alat pengembangan buka sumber klien umum seperti npm, mentranskripsikan, Yeoman, webpack dan tegukan.

  • Admin Office 365 memiliki tata kelola alat untuk segera menonaktifkan solusi terlepas dari jumlah contoh yang telah digunakan dan jumlah halaman atau situs yang mereka telah digunakan.

  • Solusi yang bisa digunakan di komponen web dan halaman yang menggunakan pengalaman klasik atau pengalaman baru.

  • Hanya admin global, admin SharePoint, dan orang-orang yang telah diberikan izin untuk mengelola Katalog aplikasi bisa menambahkan solusi. (Untuk informasi tentang memberi pengguna izin untuk mengelola Katalog aplikasi, lihat permintaan izin instalasi aplikasi.)

Kembangkan keterampilan Office Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung ke Office Insiders

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×