Beveiligingsoverwegingen voor het toestaan van aangepaste scripts

Als u gebruikers toestaat sites en pagina's in SharePoint aan te passen door script in te voegen, dan kunnen ze zich met verschillende bedrijfsbehoeften bezighouden. Houd echter rekening met de gevolgen voor de veiligheid van het aangepaste script. Als u gebruikers toestaat een aangepast script uit te voeren, kunt u niet langer beheermodellen afdwingen, de mogelijkheden van ingevoegde code bepalen, bepaalde delen van de code blokkeren of alle aangepaste code blokkeren die is geïmplementeerd. U wordt aangeraden in plaats van het aangepaste script, SharePoint Framework te gebruiken. Zie Een alternatief voor aangepaste scripts voor meer informatie.

Het aangepaste script

Elk script dat op een SharePoint-pagina wordt uitgevoerd (of dat nu een HTML-pagina in een documentbibliotheek of JavaScript in een webonderdeel Script Editor is), wordt altijd uitgevoerd binnen de context van de gebruiker die de pagina bezoekt en de SharePoint-toepassing. Dit houdt in:

  • Scripts hebben toegang tot hetzelfde waartoe de gebruiker toegang heeft.

  • Scripts hebben toegang tot inhoud in diverse Office 365-services en met Microsoft Graph-integratie tot zelfs nog meer.

U kunt het invoegen van scripts niet controleren

Als globale beheerder, beveiligingsbeheerder of SharePoint-beheerder kunt u de mogelijkheden van aangepaste scripts voor de hele organisatie of voor specifieke siteverzamelingen toestaan of blokkeren. (Zie Mogelijkheden voor uitvoeren van scripts in- en uitschakelen voor informatie over hoe u dit kunt doen.) Als u echter eenmaal scripts toestaat, kunt u niet achterhalen:

  • welke code is ingevoegd;

  • waar de code is ingevoegd;

  • wie de code heeft ingevoegd.

Een gebruiker met de machtiging Pagina's toevoegen en aanpassen (onderdeel van de machtigingsniveaus Ontwerp en volledig beheer) voor een pagina of documentbibliotheek kan code invoegen die van grote invloed kan zijn op alle gebruikers en bronnen in de organisatie. Het script heeft toegang tot meer dan alleen de pagina of site. Het heeft toegang tot inhoud van alle siteverzamelingen en andere Office 365-services in de organisatie. Voor het uitvoeren van een script bestaan geen grenzen. Zie Controle-instellingen voor een siteverzameling configureren voor informatie over siteactiviteit die u kunt controleren.

U kunt ingevoegd script niet blokkeren of verwijderen

Als u aangepaste scripts hebt toegestaan, dan kunt u de instelling wijzigen om in de toekomst te voorkomen dat gebruikers een aangepast script toevoegen. U kunt het uitvoeren van eenmaal ingevoegde scripts echter niet voorkomen. Als er een gevaarlijk of schadelijk script is ingevoegd, kunt u dit alleen stoppen door de pagina te verwijderen waarin het script wordt gehost. Dit kan het verlies van gegevens betekenen.

Een alternatief voor aangepaste scripts

SharePoint Framework is een model voor pagina's en webonderdelen dat een beheerde en volledig ondersteunde manier biedt om oplossingen te ontwikkelen met scripttechnologieën die opensourcesoftware ondersteunen. Belangrijke functies van SharePoint Framework:

  • Het framework wordt in de browser uitgevoerd binnen de context van de huidige gebruiker en verbinding. Er worden geen iFrames gebruikt.

  • De besturingselementen worden weergegeven in de Document Object Model (DOM) voor normale pagina's.

  • De besturingselementen zijn responsief en toegankelijk.

  • Ontwikkelaars hebben toegang tot de levenscyclus. Naast de mogelijkheid tot weergeven, hebben ze toegang tot laden, configuratiewijzigingen, kunnen ze serialiseren en deserialiseren en nog meer.

  • U kunt een browserframework naar keuze gebruiken: Bijvoorbeeld React, Handlebars, Knockout of AngularJS.

  • De programmeerhulpmiddelen zijn gebaseerd op algemene opensource-programmeertalen als TypeScript, Yeoman, webpack en gulp.

  • Office 365-beheerders beschikken over beheerhulpmiddelen waarmee ze oplossingen direct kunnen uitschakelen, ongeacht het aantal gebruikte exemplaren en het aantal pagina's of sites waarop ze zijn gebruikt.

  • Oplossingen kunnen in webonderdelen en pagina's worden geïmplementeerd waarvoor de klassieke of de nieuwe uitvoering wordt gebruikt.

  • Alleen globale beheerders, SharePoint-beheerders en personen met een machtiging voor het beheer van de app-catalogus kunnen oplossingen toevoegen. (Zie Installatiemachtigingen voor app aanvragen voor informatie over het geven van machtigingen aan gebruikers voor het beheer van de app-catalogus).

Uw Office-vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Office Insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagents.

×