Aby chronić użytkowników przed wyświetlaniem złośliwego kodu HTML lub JavaScript, Apps Script wykorzystuje elementy iframe do piaskownicy aplikacji internetowych usług HTML lub niestandardowych interfejsów użytkownika Dokumentów, Arkuszy i Formularzy Google. (Usługa HTML nie korzysta z piaskownicy w innych sytuacjach, takich jak generowanie treści e-maila). Piaskownica nakłada ograniczenia na kod po stronie klienta.
Tryb piaskownicy
Wycofano teraz wszystkie tryby piaskownicy z wyjątkiem IFRAME
. Aplikacje korzystające ze starszych trybów piaskownicy teraz automatycznie korzystają z nowszego trybu IFRAME
. Jeśli masz skrypty opracowane z wykorzystaniem starszych trybów (NATIVE
i EMULATED
), postępuj zgodnie z instrukcjami migracji, aby mieć pewność, że będą one działać prawidłowo w trybie IFRAME
.
Wywołanie metody setSandboxMode
nie przynosi teraz żadnych efektów.
Ograniczenia w trybie IFRAME
Tryb piaskownicy IFRAME
bazuje na funkcji piaskownicy iframe w HTML5 z użyciem tych słów kluczowych:
allow-same-origin
allow-forms
allow-scripts
allow-popups
allow-downloads
allow-modals
allow-popups-to-escape-sandbox
allow-top-navigation-by-user-activation
– ten atrybut jest ustawiony tylko dla samodzielnych projektów skryptów.
Słowo kluczowe allow-top-navigation
, które umożliwia treść przeglądania najwyższego poziomu, jest ograniczone i nie jest ustawiane jako atrybut w piaskownicy. Jeśli musisz przekierować skrypt, dodaj link lub przycisk, który umożliwi użytkownikowi wykonanie działania.
Ustawianie atrybutu elementu docelowego linku
W trybie IFRAME
ustaw atrybut celu linku na _top
lub _blank
:
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
Możesz też zastąpić ten atrybut za pomocą tagu <base>
w sekcji nagłówka strony internetowej:
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
Protokół HTTPS jest wymagany w przypadku aktywnej treści
Treści „aktywne”, takie jak skrypty, zewnętrzne arkusze stylów i żądania XmlHttpRequest, muszą być ładowane przez HTTPS, a nie HTTP.