Você usa listas de permissões para designar URLs específicos que são pré-aprovados para acesso pelo seu script ou complemento. As listas de permissões ajudam a proteger os dados dos usuários. Quando você define uma lista de permissões, os projetos de script não podem acessar URLs que não foram adicionados a ela.
Esse campo é opcional ao instalar uma implantação de teste, mas é obrigatório ao criar uma implantação com controle de versões.
Você usa listas de permissão quando seu script ou complemento realiza as seguintes ações:
- Recupera ou busca informações de um local externo (como endpoints HTTPS) usando o serviço
UrlFetchdo Apps Script. Para permitir URLs para busca, inclua o campourlFetchWhitelistno arquivo de manifesto. - Abre ou mostra um URL em resposta a uma ação do usuário. Obrigatório para
complementos do Google Workspace que abrem ou mostram URLs externos ao
Google. Para permitir URLs na lista de permissões para abertura, inclua o campo
addOns.common.openLinkUrlPrefixesno arquivo de manifesto.
Adicionar prefixos à lista de permissões
Ao especificar listas de permissões no arquivo de manifesto (incluindo o campo addOns.common.openLinkUrlPrefixes ou urlFetchWhitelist), é necessário incluir uma lista de prefixos de URL. Os prefixos adicionados ao manifesto precisam atender aos seguintes requisitos:
- Cada prefixo precisa ser um URL válido.
- Cada prefixo precisa usar
https://, nãohttp://. - Cada prefixo precisa ter um domínio completo.
- Cada prefixo precisa ter um caminho não vazio. Por exemplo,
https://www.google.com/é válido, mashttps://www.google.comnão é. - Você pode usar curingas para corresponder a prefixos de subdomínio de URL.
- Um único caractere curinga
*pode ser usado no campoaddOns.common.openLinkUrlPrefixespara corresponder a todos os links, mas isso não é recomendado porque pode expor os dados de um usuário a riscos e prolongar o processo de análise de complementos. Use um caractere curinga apenas se a funcionalidade do complemento exigir.
Ao determinar se um URL corresponde a um prefixo na lista de permissões, as seguintes regras são aplicadas:
- A correspondência de caminhos diferencia maiúsculas de minúsculas.
- Se o prefixo for idêntico ao URL, será uma correspondência.
- Se o URL for igual ou um filho do prefixo, será uma correspondência.
Por exemplo, o prefixo https://example.com/foo corresponde aos seguintes URLs:
https://example.com/foohttps://example.com/foo/https://example.com/foo/barhttps://example.com/foo?barhttps://example.com/foo#bar
Como usar caracteres curinga
Você pode usar um único caractere curinga (*) para corresponder a um subdomínio nos campos
urlFetchWhitelist
e addOns.common.openLinkUrlPrefixes. Não é possível usar mais de um caractere curinga para corresponder a vários subdomínios, e
o caractere curinga precisa representar o prefixo inicial do URL.
Por exemplo, o prefixo https://*.example.com/foo corresponde aos seguintes
URLs:
https://subdomain.example.com/foohttps://any.number.of.subdomains.example.com/foo
O prefixo https://*.example.com/foo não corresponde aos seguintes URLs:
https://subdomain.example.com/bar(sufixos diferentes)https://example.com/foo(pelo menos um subdomínio precisa estar presente)
Algumas das regras de prefixo são aplicadas quando você tenta salvar o manifesto. Por exemplo, os seguintes prefixos causam um erro se estiverem presentes no manifesto quando você tenta salvar:
https://*.*.example.com/foo(não é permitido usar vários caracteres curinga)https://subdomain.*.example.com/foo(os caracteres curinga precisam ser usados como um prefixo inicial)