為防止使用者受到惡意 HTML 或 JavaScript 的影響,Apps Script 會使用 iframe 對 Google 文件、試算表和表單的沙箱 HTML 服務網頁應用程式或自訂使用者介面。(HTML 服務在其他情況下不會使用沙箱,例如產生電子郵件內文)。沙箱對用戶端程式碼設有限制。
沙箱模式
所有沙箱模式現已淘汰,但 IFRAME
除外。使用舊版沙箱模式的應用程式現在會自動使用新版 IFRAME
模式。如果您有使用舊版模式 (NATIVE
和 EMULATED
) 開發的指令碼,請按照遷移操作說明,確保這些指令碼可在 IFRAME
模式下正常運作。
現在 setSandboxMode
方法在呼叫時不會有任何作用。
IFRAME 模式的限制
IFRAME
沙箱模式是以 HTML5 的 iframe 沙箱功能為基礎,且包含以下關鍵字:
allow-same-origin
allow-forms
allow-scripts
allow-popups
allow-downloads
allow-modals
allow-popups-to-escape-sandbox
allow-top-navigation-by-user-activation
:此屬性僅適用於獨立指令碼專案。
allow-top-navigation
關鍵字會限制內容瀏覽頂層瀏覽環境,且不會設為沙箱中的屬性。如果需要重新導向指令碼,請新增連結或按鈕供使用者採取行動。
設定連結目標屬性
在 IFRAME
模式中,您必須將連結目標屬性設為 _top
或 _blank
:
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
您也可以使用對應網頁的 head 區段使用 <base>
標記覆寫這個屬性:
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
啟用內容所需的 HTTPS 連線
指令碼、外部樣式表和 XmlHttpRequests 等「Active」內容必須透過 HTTPS (而非 HTTP) 載入。