Cân nhắc tính bảo mật của cho phép script tuỳ chỉnh

Quan trọng:  Bài viết này là dịch máy, hãy xem tuyên bố miễn trừ trách nhiệm. Bạn hãy tìm phiên bản tiếng Anh của bài viết này tại đây để tham khảo.

Cho phép người dùng để tùy chỉnh trang web và trang trong SharePoint bằng cách chèn script có thể trao cho họ linh hoạt đến địa chỉ khác nhau cần trong tổ chức của bạn. Tuy nhiên, bạn nên biết ngụ ý bảo mật của script tuỳ chỉnh. Khi bạn cho phép người dùng chạy script tuỳ chỉnh, bạn có thể không còn thực thi quản trị, phạm vi các tính năng của mã đã chèn, chặn các phần cụ thể của mã hoặc chặn tất cả mã tùy chỉnh có được triển khai. Thay vì cho phép script tuỳ chỉnh, chúng tôi khuyên bạn nên dùng SharePoint Framework. Để biết thêm thông tin, hãy xem một lựa chọn thay thế script tuỳ chỉnh.

Script tuỳ chỉnh những gì có thể thực hiện

Mỗi script chạy trong một trang SharePoint (cho dù đó là trang HTML trong thư viện tài liệu hoặc JavaScript trong phần Web trình soạn thảo Script) luôn chạy trong ngữ cảnh của người dùng khi truy cập trang và ứng dụng SharePoint . Điều này nghĩa là:

  • Kịch bản có quyền truy nhập vào tất cả người dùng có quyền truy nhập.

  • Kịch bản có thể truy nhập nội dung trên một số dịch vụ Office 365 và thậm chí ngoài với tích hợp Microsoft Graph.

Bạn không thể kiểm tra chèn script

Dưới dạng một quản trị toàn cục, quản trị bảo mật hoặc SharePoint quản trị, bạn có thể cho phép hoặc chặn chức năng script tuỳ chỉnh cho toàn bộ tổ chức hoặc cho tuyển tập trang cụ thể. (Để biết thông tin về cách thực hiện điều này, hãy xem cho phép hoặc ngăn không cho script tuỳ chỉnh.) Tuy nhiên, khi bạn cho phép tính năng tạo script, bạn không thể xác định:

  • Mã nào đã được chèn vào

  • Nơi mã đã được chèn vào

  • Ai đã chèn mã

Bất kỳ người dùng có quyền "Thêm và tùy chỉnh trang" (một phần của mức cấp phép thiết kế và điều khiển đầy đủ) vào bất kỳ thư viện tài liệu hoặc trang có thể chèn mã tiềm ẩn có thể có một hiệu ứng mạnh mẽ trên tất cả người dùng và tài nguyên trong tổ chức. Kịch bản có quyền truy nhập nhiều hơn chỉ các trang web hoặc trang - nó có thể truy nhập nội dung trên tất cả các tuyển tập site và các dịch vụ Office 365 trong tổ chức. Có những ranh giới không để thực hiện các kịch bản. Để biết thông tin về hoạt động site, bạn có thể kiểm tra, hãy xem cấu hình các thiết đặt cho một tuyển tập trang kiểm nghiệm.

Bạn không thể chặn hoặc loại bỏ script đã chèn

Nếu bạn đã phép script tuỳ chỉnh, bạn có thể thay đổi thiết đặt để sau này ngăn không cho người dùng thêm script tuỳ chỉnh, nhưng bạn không thể chặn thực thi script mà đã được chèn vào. Nếu script nguy hiểm hoặc độc hại đã được chèn vào, chỉ có một cách bạn có thể dừng nó là xóa bỏ trang lưu trữ nó. Điều này có thể dẫn đến việc mất dữ liệu.

Một cách khác thay vì script tuỳ chỉnh

Khuôn khổ SharePoint là một trang web và phần mô hình cung cấp một cách quản lý và được hỗ trợ đầy đủ để xây dựng giải pháp sử dụng công nghệ tạo script với bộ phận hỗ trợ cho dụng cụ mở nguồn. Tính năng chính của SharePoint Framework:

  • Khuôn khổ sự chạy trong ngữ cảnh của người dùng hiện tại và kết nối trong trình duyệt. Không sử dụng iFrame.

  • Các điều khiển được kết xuất trong trang thường mô hình đối tượng tài liệu (DOM).

  • Các điều khiển được phản hồi hay và có thể truy nhập.

  • Người phát triển có thể truy nhập vòng đời. Ngoài việc kết xuất, họ có thể truy nhập tải, serialize và deserialize, thay đổi cấu hình, và nhiều hơn nữa.

  • Bạn có thể dùng bất kỳ trình duyệt framework bạn thích: phản ứng, tay lái, vòng, AngularJS, và nhiều hơn nữa.

  • Toolchain dựa trên thông thường mở nguồn phát triển công cụ máy khách như npm, bản sao, Yeoman, webpack và gulp.

  • Người quản trị Office 365 có công cụ quản trị để ngay lập tức vô hiệu hóa các giải pháp bất kể số lần xuất hiện đã được sử dụng và số trang hay trang qua mà họ đã được dùng.

  • Giải pháp có thể được triển khai trong phần web và trang sử dụng trải nghiệm cổ điển hoặc trải nghiệm mới.

  • Chỉ người quản trị toàn cầu, người quản trị SharePoint, và những người đã được cấp quyền để quản lý danh mục ứng dụng có thể thêm giải pháp. (Để biết thông tin về đặt cho người dùng quyền để quản lý danh mục ứng dụng, hãy xem yêu cầu quyền cài đặt ứng dụng.)

Ghi chú: Tuyên bố miễn trừ trách nhiệm Dịch Máy: Bài viết này do một hệ thống máy tính dịch mà không có sự can thiệp của con người. Microsoft cung cấp những bản dịch máy này để giúp người dùng không nói tiếng Anh hiểu nội dung về các sản phẩm, dịch vụ và công nghệ của Microsoft. Do bài viết này được dịch máy nên có thể có các lỗi về từ vựng, cú pháp hoặc ngữ pháp.

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×