允許自訂指令碼的安全性考量

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

允許來自訂網站和頁面SharePoint插入指令碼的使用者可以為其授與您組織中的地址不同的彈性需要。不過,您應該知道的自訂指令碼的安全性含意。如果您要讓使用者執行自訂指令碼,不再可以強制執行管理、 範圍插入程式碼的功能、 封鎖的程式碼的特定部分或封鎖所有已部署自訂程式碼。而非允許自訂指令碼,建議使用SharePoint架構。取得詳細資訊,請參閱自訂指令碼的替代方案

可以執行哪些自訂指令碼

瀏覽頁面和SharePoint應用程式使用者的內容中,執行一律執行SharePoint頁面 (不管是文件庫中的 HTML 頁面或指令碼編輯器網頁組件中的 JavaScript) 中的每個指令碼。這表示:

  • 指令碼擁有存取權的使用者擁有存取權的所有項目。

  • 指令碼存取內容跨多個 Office 365 服務及偶數除了 Microsoft Graph 整合。

您無法稽核所插入的指令碼

以全域管理員、 安全性系統管理員或SharePoint管理員,您可允許或封鎖針對整個組織或特定的網站集合的自訂指令碼功能。(如需如何執行此動作,請參閱允許或防止自訂指令碼。)不過,當您允許指令碼,您無法識別:

  • 已插入程式碼

  • 插入程式碼的位置

  • 誰插入程式碼

任何有任何頁面或文件庫的 「 新增及自訂頁面 」 權限 (的設計] 和 [完全控制 」 權限等級的一部分) 的使用者可以插入程式碼,可能有在組織中的所有使用者和資源的強大的效果。指令碼有不只是頁面或網站的存取權,-所有網站集合以及組織中的其他 Office 365 服務存取內容。有執行指令碼沒有邊界。網站活動的相關資訊您可以稽核,請參閱在網站集合的稽核設定的設定

您無法封鎖或移除插入的指令碼

如果您已允許自訂指令碼,您可以變更的設定,若要稍後新增自訂指令碼,防止使用者,但您無法封鎖已插入的指令碼的執行。如果插入危險或惡意指令碼,您也可以將它停止的唯一方式是刪除主控的頁面。這可能會造成資料遺失。

若要自訂指令碼替代方案

SharePoint 架構是頁面和網頁組件模型,提供建置解決方案運用指令碼的技術支援開啟來源工具受控和完全支援的方式。 SharePoint架構重要功能:

  • 在目前的使用者和連線瀏覽器中的內容中,執行架構。它不會使用 iFrames。

  • 在 [標準] 頁面的文件物件模型 (DOM) 呈現控制項。

  • 控制項是回應和存取。

  • 開發人員可以存取的生命週期。除了轉譯,他們可以存取載入、 序列化和還原序列化,設定變更及其他內容。

  • 您可以使用任何您喜歡的瀏覽器架構: 反應、 Handlebars、 油墨廓清、 AngularJS,及其他功能。

  • Toolchain 根據常見開啟來源用戶端開發工具,例如 npm、 TypeScript、 Yeoman、 webpack,與大。

  • Office 365 管理員有管理工具,可立即停用無論已使用的執行個體數目和頁面或網站上的對方已被使用的數字的解決方案。

  • 在網頁組件和使用傳統體驗或新體驗的頁面中,可以部署解決方案。

  • 全域管理員、 SharePoint 管理員和已提供管理應用程式目錄的權限的人員可以新增的解決方案。(如管理應用程式目錄的權限授與使用者的相關資訊,請參閱要求應用程式安裝權限。)

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×