Вопросы безопасности при разрешении настраиваемых сценариев

Предоставление пользователям возможности настраивать сайты и страницы SharePoint путем вставки сценариев позволит им гибко решать различные задачи. Однако необходимо учитывать влияние таких настраиваемых сценариев на безопасность. Если разрешить пользователям запускать настраиваемые сценарии, вы больше не сможете контролировать вставленный код, ограничивать его возможности, блокировать определенные фрагменты кода или все развернутые настраиваемые сценарии. Вместо настраиваемых сценариев мы рекомендуем использовать SharePoint Framework. Дополнительные сведения см. в разделе Альтернатива настраиваемым сценариям.

Возможности настраиваемых сценариев

Все сценарии, выполняемые на странице SharePoint (будь то HTML-страница в библиотеке документов или JavaScript в веб-части редактора сценариев), всегда работают в контексте пользователя, который открыл страницу и приложение SharePoint. Это означает, что:

  • У сценариев есть доступ ко всему, что доступно пользователю.

  • Сценарии могут получать содержимое из различных служб Office 365 и даже из внешних источников благодаря интеграции с Microsoft Graph.

Отсутствие аудита вставки сценариев

Глобальный администратор, администратор безопасности или администратор SharePoint может разрешить или запретить настраиваемые сценарии для всей организации или для отдельных семейств веб-сайтов. (Сведения о том, как это сделать, см. в статье Включение и отключение сценариев.) Однако если разрешить сценарии, вы не сможете определять:

  • какой код был вставлен;

  • куда был вставлен код;

  • кто вставил его.

Любой пользователь с разрешением "Добавление и настройка страниц" (которое предоставляется на уровнях разрешений "Проектирование" и "Полный доступ") для любой страницы или библиотеки документов может вставить код, который оказывает значительное влияние на всех пользователей и все ресурсы в организации. Сценарий имеет доступ не только к этой странице или сайту, а к содержимому во всех семействах веб-сайтов и в других службах Office 365 в организации. Ограничить его выполнение невозможно. Сведения о том, для каких действий на сайте поддерживается аудит, см. в статье Настройка параметров аудита для семейства веб-сайтов.

Невозможность блокировки и удаления вставленных сценариев

Если вы разрешили настраиваемые сценарии, вы можете затем запретить их, но не заблокировать выполнение сценариев, которые уже были вставлены. Если был добавлен опасный или вредоносный сценарий, остановить его можно будет только путем удаления страницы, на которой он размещен. Это может привести к потере данных.

Альтернатива настраиваемым сценариям

SharePoint Framework — это модель страниц и веб-частей, которая позволяет создавать управляемые решения на основе сценариев с поддержкой инструментария с открытым кодом. SharePoint Framework имеет следующие основные особенности:

  • Платформа работает в контексте текущего пользователя и подключения в браузере. Блоки iFrame не используются.

  • Элементы управления обрабатываются в модели DOM обычной страницы.

  • Элементы управления быстро реагируют на запросы и поддерживают специальные возможности.

  • Разработчики могут получать доступ к жизненному циклу. Они могут управлять не только обработкой, но и загрузкой, сериализацией и десериализацией, а также изменениями конфигурации.

  • Можно использовать любую платформу браузера: React, Handlebars, Knockout, AngularJS и т. д.

  • Цепочка инструментов основана на распространенных клиентских средствах разработки с открытым кодом, таких как npm, TypeScript, Yeoman, webpack и gulp.

  • У администраторов Office 365 есть средства управления, позволяющие немедленно отключать решения независимо от того, какое количество экземпляров используется и на каком количестве страниц или сайтов.

  • Решения можно развертывать в веб-частях и на страницах с классическим или новым интерфейсом.

  • Добавлять решения могут только глобальные администраторы, администраторы SharePoint и пользователи, которым было предоставлено разрешение на управление каталогом приложений. (Сведения о назначении таких разрешений см. в статье Запрос разрешений на установку приложений.)

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×