悪意のある HTML や JavaScript がユーザーに提供されないようにするため、Apps Script では iframe を使用して HTML サービスのウェブアプリや Google ドキュメント、スプレッドシート、フォームのカスタム ユーザー インターフェースをサンドボックス化します。(HTML サービスでは、メールの本文を生成するなど、他の状況ではサンドボックスは使用されません)。このサンドボックスでは、クライアント側のコードに制限があります。
サンドボックス モード
IFRAME を除くすべてのサンドボックス モードが廃止されました。古いサンドボックス モードを使用するアプリは、新しい IFRAME モードを自動的に使用するようになりました。古いモード(NATIVE と EMULATED)を使用して開発されたスクリプトがある場合は、移行手順に沿って、IFRAME モードで適切に機能するようにする必要があります。
setSandboxMode メソッドが呼び出されても効果がなくなりました。
iframe モードでの制限
IFRAME サンドボックス モードは、HTML5 の iframe サンドボックス化機能に基づいており、次のキーワードを使用します。
allow-same-originallow-formsallow-scriptsallow-popupsallow-downloadsallow-modalsallow-popups-to-escape-sandboxallow-top-navigation-by-user-activation- この属性は、スタンドアロン スクリプト プロジェクトでのみ設定されます。
コンテンツがトップレベル ブラウジング コンテキストに移動できるようにする allow-top-navigation キーワードは制限されており、サンドボックスの属性として設定されません。スクリプトをリダイレクトする必要がある場合は、代わりにユーザーが操作するためのリンクまたはボタンを追加します。
商品リンク属性を設定する
IFRAME モードでは、リンク ターゲット属性を _top または _blank に設定する必要があります。
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
この属性は、外側のウェブページの Head セクション内の <base> タグを使用してオーバーライドすることもできます。
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
アクティブなコンテンツには HTTPS が必要です
スクリプト、外部スタイルシート、XmlHttpRequests などのコンテンツは、HTTP ではなく HTTPS を介して読み込まれる必要があります。