允许自定义脚本的安全注意事项

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

允许用户通过插入脚本自定义网站和页面中SharePoint可以授予他们在您的组织需要到不同的地址的灵活性。但是,您应注意的自定义脚本的安全问题。当您允许用户运行自定义脚本时,您可以不再强制实施管理、 范围插入代码的功能、 阻止特定部分的代码,或阻止所有已部署的自定义代码。而不是允许自定义脚本,我们建议使用SharePoint框架。详细信息,请参阅自定义脚本的替代方法

什么是自定义脚本可以执行的操作

始终运行SharePoint页面 (无论是文档库中的 HTML 页或脚本编辑器 Web 部件中的 JavaScript) 中的每个脚本访问页面和SharePoint应用程序的用户的上下文中运行。这意味着:

  • 脚本有权访问该用户有权访问的所有内容。

  • 脚本可以访问内容跨多个 Office 365 服务和偶数超出与 Microsoft Graph 集成。

不能审核脚本插入

作为全局管理员、 安全管理员或SharePoint管理员,您可以允许或阻止为整个组织或为特定网站集的自定义脚本功能。(如何执行此操作的信息,请参阅允许或禁止自定义脚本。)但是之后您允许脚本,, 您不能确定:

  • 已插入代码

  • 在其中插入代码

  • 插入代码谁

任何用户都具有的任何页面或文档库的"添加和自定义网页"权限 (设计和完全控制权限级别的一部分) 可以插入的代码,可能有组织中的所有用户和资源的功能强大的效果。脚本有权访问多个页面或网站-它可以跨所有网站集和组织中的其他 Office 365 服务访问内容。没有任何执行脚本的边界。有关网站活动的信息可以审核,请参阅配置审核设置为网站集

您不能阻止或删除插入的脚本

如果您已允许自定义脚本,您可以更改设置以更高版本中阻止用户添加自定义脚本,但您不能阻止执行已插入的脚本。如果已插入危险或恶意脚本,您可以将其停止的唯一方法是删除承载它的页面。这可能会导致数据丢失。

一种方法是自定义脚本

SharePoint 框架是提供了一种管辖完全支持的方法来构建解决方案脚本技术支持用于打开源文件工具的页和 web 部件模型。 SharePoint框架关键功能:

  • 当前用户和浏览器中的连接的上下文中运行该框架。它不会使用 Iframe。

  • 在普通页文档对象模型 (DOM) 呈现控件。

  • 控件是响应和辅助功能。

  • 开发人员可以访问生命周期。除了呈现,他们可以访问负载,也可以将反配置更改等。

  • 您可以使用您喜欢的任何浏览器框架: 响应、 车、 挖空、 AngularJS,等。

  • Toolchain 基于 npm、 TypeScript、 Yeoman、 webpack 和大口等的常用打开源文件客户端开发工具。

  • Office 365 管理员有管理工具,以立即禁用无论已使用的实例数和页面数量或跨其他们已使用过的网站的解决方案。

  • 在 web 部件和使用经典体验或新体验的页中,可以部署解决方案。

  • 全局管理员、 SharePoint 管理员和已授予权限管理应用程序目录的人员可以添加解决方案。(有关如何管理应用程序目录的权限授予用户的信息,请参阅请求安装应用程序的权限。)

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×