Considerações de segurança de permitir script personalizado

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Permitir que usuários personalizar sites e páginas no SharePoint inserindo o script forneça que a flexibilidade ao endereço diferentes necessidades da sua organização. No entanto, você deve estar ciente das implicações de segurança de script personalizado. Quando você permitir que os usuários executem um script personalizado, você pode já não impor governança, escopo os recursos de código inserido, bloquear partes específicas do código ou bloquear todo código personalizado que tenha sido implantado. Em vez de permitir o script personalizado, é recomendável usar o SharePoint Framework. Para obter mais informações, consulte uma alternativa para script personalizado.

Quais script personalizado pode fazer

Cada script que é executado em uma página de SharePoint (se ela é uma página HTML em uma biblioteca de documentos ou um JavaScript em uma Web Part do Editor de scripts) sempre é executado no contexto do usuário visitar a página e o aplicativo SharePoint. Isso significa que:

  • Scripts tem acesso a tudo o que o usuário tem acesso a.

  • Scripts podem acessar o conteúdo em vários serviços do Office 365 e mesmo além com integração com o Microsoft Graph.

Você não pode auditar a inserção de script

Como um administrador global, administrador de segurança ou administrador de SharePoint, você pode permitir ou bloquear recursos de script personalizado para toda a organização ou para conjuntos de sites específicos. (Para obter informações sobre como fazer isso, consulte Permitir ou impedir script personalizado.) No entanto, depois que você permite scripts, você não pode identificar:

  • O código que foi inserido

  • Onde o código foi inserido

  • Quem inserida o código

Qualquer usuário que tenha permissão de "Adicionar e personalizar páginas" (parte dos níveis de permissão Design e controle total) para qualquer página ou biblioteca de documentos pode inserir código potencialmente pode ter um efeito poderoso todos os usuários e recursos na organização. O script tem acesso a mais do que apenas a página ou site, ele pode acessar o conteúdo em todos os conjuntos de sites e outros serviços do Office 365 na organização. Não há nenhum limites para executar o script. Para obter informações sobre a atividade do site, você pode fazer auditoria, consulte Configurar configurações de auditoria para um conjunto de sites.

Você não pode bloquear ou remover o script inserido

Se você tiver permissão script personalizado, você pode alterar a configuração para posterior impedir que os usuários adicionem script personalizado, mas você não pode bloquear a execução de script que já foi inserido. Se o script perigoso ou mal-intencionado foi inserido, a única maneira que você poderá interrompê-lo é excluir a página que hospeda-lo. Isso pode resultar em perda de dados.

Uma alternativa para script personalizado

A Estrutura do SharePoint é um modelo de parte de página e da web que fornece uma maneira controlada e totalmente suportada para criar soluções usando tecnologias de script com suporte para ferramentas de código-fonte aberto. Principais recursos do SharePoint Framework:

  • A estrutura é executado no contexto do usuário atual e conexão no navegador. Ele não usar iFrames.

  • Os controles são processadas na página normal modelo de objeto de documento (DOM).

  • Os controles são ágil e acessível.

  • Os desenvolvedores podem acessar o ciclo de vida. Além de renderização, eles podem acessar carga, serializar e deserializar, alterações de configuração e muito mais.

  • Você pode usar qualquer estrutura de navegador que você gosta: reagir, Guidões para Bike, separação, AngularJS e muito mais.

  • O toolchain baseia-se em ferramentas de desenvolvimento de cliente Abrir origem comuns como npm, TypeScript, Yeoman, webpack e vez.

  • Administradores do Office 365 possuem ferramentas de gestão para desabilitar imediatamente soluções independentemente o número de instâncias que foram usados e o número de páginas ou sites em que ela tiver sido usado.

  • Soluções podem ser implantadas em web parts e páginas que usam a experiência clássica ou a nova experiência.

  • Somente administradores globais, administradores do SharePoint e as pessoas que receberam permissão para gerenciar o catálogo de aplicativos podem adicionar soluções. (Para obter informações sobre como conceder aos usuários permissão para gerenciar o catálogo de aplicativos, consulte Solicitar permissões de instalação do aplicativo.)

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×