Вимоги до безпеки в разі дозволу користувацьких сценаріїв

Якщо дозволити користувачам налаштовувати сайти та сторінки в SharePoint, вставляючи сценарії, вони можуть отримати гнучкість, необхідну для задоволення різних потреб організації. Проте слід пам’ятати про наслідки користувацьких сценаріїв для безпеки. Якщо дозволити користувачам виконувати власні сценарії, ви більше не зможете застосовувати систему керування, обмежувати можливості вставленого коду та блокувати конкретні частини коду або весь розгорнутий спеціальний код. Замість того щоб дозволяти користувацькі сценарії, радимо використовувати SharePoint Framework. Докладні відомості див. в розділі Альтернатива користувацьким сценаріям.

Можливості користувацьких сценаріїв

Кожен сценарій, який виконується на сторінці SharePoint (незалежно від того, чи це сторінка HTML у бібліотеці документів або файл JavaScript у веб-частині "Редактор сценаріїв"), завжди виконується в контексті відвідування користувачем сторінки та програми SharePoint. Це означає, що:

  • сценарії мають доступ до всього, до чого має доступ користувач;

  • сценарії можуть отримати доступ до вмісту в кількох службах Office 365 і навіть за їхніми межами завдяки інтеграції Microsoft Graph.

Можливість відстежувати вставлення сценаріїв не передбачена

Як глобальний адміністратор, адміністратор безпеки або адміністратор SharePoint ви можете дозволити або заблокувати можливості користувацьких сценаріїв для всієї організації чи окремих колекцій сайтів (інструкції див. в статті Дозвіл і заборона користувацьких сценаріїв). Проте, дозволивши сценарії, ви не зможете визначити:

  • який код вставлено;

  • куди вставлено код;

  • хто вставив код.

Будь-який користувач, який має дозвіл "Додавання та настроювання сторінок" (частина рівнів дозволів "Проектування" і "Повний доступ") на будь-яку сторінку або бібліотеку документів, може вставити код, який потенційно матиме значний вплив на всіх користувачів і ресурси в організації. Сценарій має доступ не лише до сторінки або сайту: він може отримати доступ до вмісту в усіх колекціях сайтів та інших службах Office 365 в організації. Для виконання сценаріїв немає меж. Відомості про те, які дії на сайті можна відстежувати, див. в статті Налаштування параметрів аудиту для колекції сайтів.

Можливість блокувати або видалити вставлений сценарій не передбачена

Якщо ви дозволили користувацькі сценарії, ви можете змінити цей параметр, щоб згодом заборонити користувачам їх додавати, але не можете заблокувати виконання сценарію, який уже вставлено. Якщо було вставлено небезпечний або зловмисний сценарій, єдиний спосіб зупинити його – видалити сторінку, на якій його розміщено. Це може призвести до втрати даних.

Альтернатива користувацьким сценаріям

Середовище SharePoint – це модель сторінки та веб-частини, яка забезпечує керований і повністю підтримуваний спосіб створення рішень за допомогою технологій сценаріїв із підтримкою інструмента відкритого коду. Далі наведено ключові особливості середовища SharePoint.

  • Середовище запускається в контексті поточного користувача та підключення в браузері. У ньому не використовуються елементи iFrame.

  • Елементи керування відтворюються в об’єктній моделі документів (DOM) на звичайній сторінці.

  • Елементи керування чутливі та доступні.

  • Розробники можуть отримати доступ до життєвого циклу. Крім відтворення, вони можуть отримати доступ до завантаження, серіалізації та десеріалізації, змін до конфігурації тощо.

  • Ви можете використовувати будь-яке середовище браузера: React, Handlebars, Knockout, AngularJS тощо.

  • В основі ланцюжка інструментів лежать типові інструменти розробки клієнтів із відкритим кодом, як-от npm, TypeScript, Yeoman, webpack і gulp.

  • В адміністраторів Office 365 є інструменти керування для негайного вимкнення рішень незалежно від кількості використаних екземплярів і кількості використаних на них сторінок або сайтів.

  • Рішення можна розгортати у веб-частинах і на сторінках, у яких використовується класичний або новий інтерфейс.

  • Рішення можуть додавати лише глобальні адміністратори, адміністратори SharePoint і користувачі, яким надано дозвіл на керування каталогом програм (відомості про надання користувачам дозволу на керування каталогом програм див. в статті Запит дозволів на інсталяцію програми).

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×