Varnostna priporočila za omogočanje skripta po meri

Če uporabnikom omogočite prilagajanje spletnih mest in strani v SharePointu z vstavljanjem skriptov, imajo na voljo več možnosti, da izpolnijo različne potrebe v svoji organizaciji. Zavedati pa se morate, da skripti po meri lahko vplivajo na varnost. Če uporabnikom dovolite zaganjanje skripta po meri, ne morete več vsiliti nadzora, določati obsega zmogljivosti vstavljene kode, blokirati določenih delov kode ali blokirati celotne kode po meri, ki je bila uvedena. Priporočamo vam, da uporabite SharePoint Framework, namesto da bi omogočili skript po meri. Če želite več informacij, glejte Nadomestna možnost za skript po meri.

Kaj omogoča skript po meri

Vsak skript, ki se izvaja na SharePointovi strani (najsi gre za stran HTML v knjižnici dokumentov ali spletni gradnik JavaScript), se vedno izvaja v kontekstu uporabnika, ki je odprl stran in aplikacijo SharePoint. To pomeni:

  • Skripti imajo dostop do vsega, do česar lahko dostopa uporabnik.

  • Skripti lahko dostopajo do vsebine v več storitvah Office 365 in še dlje z integracijo orodja Microsoft Graph.

Vstavljanje skripta lahko nadzirate

Kot globalni skrbnik, skrbnik varnosti ali skrbnik SharePointa lahko dovolite ali blokirate zmogljivosti skripta za celotno organizacijo za določeno zbirko spletnih mest. (Če želite informacije o tem, kako to naredite, glejte Omogočanje ali preprečevanje skripta po meri.) Ko pa enkrat skriptno izvajanje omogočite, lahko prepoznate:

  • Katera koda je bila vstavljena

  • Kje je bila koda vstavljena

  • Kdo je vstavil kodo

Vsak, ki ima dovoljenje »Dodajanje in prilagoditev strani« (del ravni dovoljenj za načrtovanje in poln nadzor) za poljubno stran ali knjižnico dokumentov, lahko vstavi kodo, ki lahko močno vpliva na vse uporabnike in vire v organizaciji. Skript lahko dostopa do več vsebin in možnosti, kot jih ponuja stran ali spletno mesto – dostopa lahko do vsebin v vseh zbirkah mesta in drugih storitev Office 365 v organizaciji. Za izvajanje skripta ni meja. Če želite informacije o dejavnosti spletnega mesta, ki ga lahko nadzirate, glejte Konfiguriranje nastavitev nadzora za zbirke mest.

Vstavljenega skripta ni mogoče blokirati ali odstraniti

Če ste omogočili skript po meri, lahko spremenite nastavitev, če želite pozneje preprečiti uporabnikom dodajanje skripta po meri, ne morete pa blokirati izvajanja skripta, ki je vstavljen. Če je bil vstavljen nevaren ali zlonameren skript, ga lahko zaustavite le tako, da izbrišete stran, ki ta skript gosti. To lahko povzroči izgubo podatkov.

Nadomestna možnost za skript po meri

SharePoint Framework je stran in model spletnega gradnika, ki zagotavlja voden in v celoti podprt način za gradnjo rešitev s tehnologijami skriptnega izvajanja s podporo za odprtokodna orodja. Najpomembnejše funkcije ogrodja SharePoint Framework:

  • Ogrodje se izvaja v kontekstu trenutnega uporabnika in povezave v brskalniku. Ne uporablja elementov iFrames.

  • Kontrolniki so upodobljeni na običajni strani Document Object Model (DOM).

  • Kontrolniki so odzivni in dostopni.

  • Razvijalci imajo dostop do življenjskega cikla. Poleg upodabljanja lahko dostopajo do obremenitve, serializacije in deserializacije sprememb konfiguracije in še več.

  • Uporabite lahko ogrodje katerega koli brskalnika: React, Handlebars, Knockout, AngularJS in še več.

  • Nabor orodij za programiranje (toolchain) temelji na običajnih razvojnih orodjih za odprtokodne odjemalce, kot so npm, TypeScript, Yeoman, webpack in gulp.

  • Skrbniki storitve Office 365 imajo orodja za upravljanje, s katerimi lahko takoj onemogočijo rešitve, ne glede na število primerkov, ki so bili uporabljeni in število strani ali spletnih mest, kjer so bili uporabljene.

  • Rešitve je mogoče uporabiti v spletnih gradnikih in straneh, ki uporabljajo klasično ali novo izkušnjo.

  • Rešitve lahko dodajo le globalni skrbniki, skrbniki SharePointa in ljudje, ki so jim bila dodeljena dovoljenja za upravljanje kataloga aplikacij. (Če želite informacije o dodajanju uporabniških dovoljenj za upravljanja kataloga aplikacij, glejte Pošiljanje zahteve za dovoljenja za namestitev aplikacije.)

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridružite se programu Office Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×