Bạn sử dụng danh sách cho phép để chỉ định các URL cụ thể đã được tập lệnh hoặc tiện ích bổ sung của bạn phê duyệt trước để truy cập. Danh sách cho phép giúp bảo vệ dữ liệu người dùng; khi bạn xác định danh sách cho phép, các dự án tập lệnh không thể truy cập vào các URL chưa có trong danh sách cho phép.
Trường này là trường không bắt buộc khi bạn cài đặt một quá trình triển khai thử nghiệm. Tuy nhiên, trường này bắt buộc phải có khi bạn tạo một phương thức triển khai có nhiều phiên bản.
Bạn sẽ sử dụng danh sách cho phép khi tập lệnh hoặc tiện ích bổ sung của bạn thực hiện các hành động sau:
- Truy xuất hoặc tìm nạp thông tin từ một vị trí bên ngoài (chẳng hạn như điểm cuối HTTPS) bằng dịch vụ
UrlFetchcủa Apps Script. Để đưa URL vào danh sách cho phép tìm nạp, hãy thêm trườngurlFetchWhitelistvào tệp kê khai. - Mở hoặc hiển thị một URL để phản hồi một hành động của người dùng (Bắt buộc đối với các tiện ích bổ sung của Google Workspace mở hoặc hiển thị URL bên ngoài Google). Để đưa các URL vào danh sách cho phép mở, hãy thêm trường
addOns.common.openLinkUrlPrefixesvào tệp kê khai.
Thêm tiền tố vào danh sách cho phép
Khi chỉ định các danh sách cho phép trong tệp kê khai (bằng cách bao gồm trường addOns.common.openLinkUrlPrefixes hoặc urlFetchWhitelist), bạn phải đưa vào danh sách các tiền tố URL. Các tiền tố mà bạn thêm vào tệp kê khai phải đáp ứng các yêu cầu sau:
- Mỗi tiền tố phải là một URL hợp lệ.
- Mỗi tiền tố phải dùng
https://, không phảihttp://. - Mỗi tiền tố phải có miền đầy đủ.
- Mỗi tiền tố phải có một đường dẫn không được trống. Ví dụ:
https://www.google.com/là hợp lệ nhưnghttps://www.google.comkhông hợp lệ. - Bạn có thể sử dụng ký tự đại diện để so khớp các tiền tố miền con URL.
- Bạn có thể dùng một ký tự đại diện
*trong trườngaddOns.common.openLinkUrlPrefixesđể so khớp mọi đường liên kết. Tuy nhiên, bạn không nên làm như vậy vì có thể khiến dữ liệu của người dùng gặp rủi ro và có thể kéo dài quá trình xem xét tiện ích bổ sung. Chỉ sử dụng ký tự đại diện nếu chức năng tiện ích bổ sung của bạn yêu cầu ký tự đó.
Khi xác định xem một URL có khớp với tiền tố trong danh sách cho phép hay không, các quy tắc sau sẽ áp dụng:
- Việc so khớp đường dẫn có phân biệt chữ hoa chữ thường.
- Nếu tiền tố giống hệt với URL thì đó là kết quả trùng khớp.
- Nếu URL giống nhau hoặc là con của tiền tố thì URL đó là khớp.
Ví dụ: tiền tố https://example.com/foo khớp với các URL sau:
https://example.com/foohttps://example.com/foo/https://example.com/foo/barhttps://example.com/foo?barhttps://example.com/foo#bar
Sử dụng ký tự đại diện
Bạn có thể sử dụng một ký tự đại diện (*) để so khớp một miền con cho cả trường urlFetchWhitelist và trường addOns.common.openLinkUrlPrefixes. Bạn không thể dùng nhiều ký tự đại diện để so khớp với nhiều miền con và ký tự đại diện đó phải đại diện cho tiền tố đứng đầu của URL.
Ví dụ: tiền tố https://*.example.com/foo khớp với các URL sau:
https://subdomain.example.com/foohttps://any.number.of.subdomains.example.com/foo
Tiền tố https://*.example.com/foo không khớp với các URL sau:
https://subdomain.example.com/bar(hậu tố không khớp)https://example.com/foo(phải có ít nhất một miền con)
Một số quy tắc về tiền tố sẽ được thực thi khi bạn cố gắng lưu tệp kê khai. Ví dụ: các tiền tố sau đây sẽ gây ra lỗi nếu các tiền tố này có trong tệp kê khai khi bạn cố gắng lưu:
https://*.*.example.com/foo(nhiều ký tự đại diện bị cấm)https://subdomain.*.example.com/foo(ký tự đại diện phải được dùng làm tiền tố đứng đầu)