Considerazioni sulla sicurezza quando si consente l'uso di script personalizzati

Permettere agli utenti di personalizzare siti e pagine in SharePoint inserendo script può offrire loro la flessibilità necessaria per soddisfare esigenze diverse all'interno dell'organizzazione. Tuttavia, occorre tenere presente le implicazioni a livello di sicurezza inerenti all'uso di script personalizzati. Quando si permette agli utenti di eseguire script personalizzati, non è più possibile applicare la governance, definire l'ambito di funzionalità del codice inserito, bloccare parti specifiche di codice o bloccare tutto il codice personalizzato che è stato implementato. Anziché consentire gli script personalizzati, è consigliabile usare SharePoint Framework. Per altre informazioni, vedere Un'alternativa agli script personalizzati.

Cosa possono fare gli script personalizzati

Qualunque script eseguito in una pagina di SharePoint, che sia una pagina HTML in una raccolta documenti o un costrutto JavaScript in una web part Editor script, viene sempre eseguito nel contesto dell'utente che visita la pagina e l'applicazione di SharePoint. Questo significa che:

  • Gli script hanno accesso a tutto ciò a cui ha accesso l'utente.

  • Gli script possono accedere a contenuto all'interno di più servizi di Office 365 e anche oltre l'integrazione con Microsoft Graph.

Non è possibile controllare l'inserimento di script

Un amministratore globale, della sicurezza o di SharePoint può consentire o bloccare le funzionalità degli script personalizzati per l'intera organizzazione o per specifiche raccolte siti. Per informazioni su come eseguire questa operazione, vedere Consentire o impedire script personalizzati. Quando si consente l'esecuzione di script, tuttavia, non è possibile identificare:

  • Il codice inserito

  • Dove è stato inserito il codice

  • Chi ha inserito il codice

Qualunque utente con autorizzazioni "Aggiunta e personalizzazione pagine" (parte dei livelli di autorizzazione Progettazione e Controllo completo) per qualsiasi pagina o raccolta documenti può inserire codice che potenzialmente può avere un forte impatto su tutti gli utenti e le risorse dell'organizzazione. Gli script non hanno accesso solo alla pagina o al sito in questione. Possono infatti accedere a contenuto in tutte le raccolte siti e in altri servizi di Office 365 nell'organizzazione. Non esistono limiti per l'esecuzione di script. Per informazioni sulle attività del sito che è possibile controllare, vedere Configurare le impostazioni di controllo per una raccolta siti.

Non è possibile bloccare o rimuovere gli script inseriti

Se sono stati consentiti gli script personalizzati, si può modificare l'impostazione in un secondo momento per impedire agli utenti di aggiungerne di nuovi, ma non è possibile bloccare l'esecuzione di script già inseriti. Se è stato inserito uno script dannoso o pericoloso, l'unico modo per bloccarlo è eliminare la pagina che lo ospita. Questo può causare la perdita di dati.

Un'alternativa agli script personalizzati

SharePoint Framework è un modello di pagina e web part che offre un modo regolamentato e completamente supportato per compilare soluzioni usando tecnologie di scripting con supporto per strumenti open source. Caratteristiche principali di SharePoint Framework:

  • Il framework viene eseguito nel contesto dell'utente corrente e della connessione nel browser. Non usa iFrame.

  • Il rendering dei controlli nella pagina viene eseguito nel normale modello DOM (Document Object Model).

  • I controlli sono reattivi e accessibili.

  • Gli sviluppatori possono accedere al ciclo di vita. Oltre che al rendering, possono accedere a caricamento, serializzazione e deserializzazione, modifiche alla configurazione e altro ancora.

  • È possibile usare qualsiasi framework per browser: React, Handlebars, Knockout, AngularJS e altro.

  • La toolchain è basata su strumenti di sviluppo client open source comuni, come npm, TypeScript, Yeoman, webpack e gulp.

  • Gli amministratori di Office 365 hanno a disposizione strumenti di governance che disabilitano immediatamente le soluzioni indipendentemente dal numero di istanze usate e dal numero di pagine o siti in cui sono state usate.

  • Le soluzioni possono essere distribuite in web part e pagine che usano l'esperienza classica o la nuova esperienza.

  • Solo gli amministratori globali, gli amministratori di SharePoint e le persone a cui sono state concesse autorizzazioni per la gestione del catalogo app possono aggiungere soluzioni. Per informazioni sul concedere agli utenti autorizzazioni per la gestione del catalogo app, vedere Richiedere le autorizzazioni di installazione per le app.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×