0

グーグルサイトにガジェットとしてグーグルアプリスクリプトを挿入しました。このGASは、htmlサービスのページを実装し、ユーザーデータをキャプチャして、別のスクリプトのScriptDbに保存することを目的としています。遊んでみると、Googleサイトのソースコードを表示すると、すべてのユーザーがGoogleサイトのソースに表示されているURLを介してGASに直接アクセスできることに気付きました。このリンクをたどると、GASがありました!このリンクから、新しいデータをScriptDbに保存しようとしましたが、幸いなことにこれは不可能であることがわかりました。この動作はセキュリティの問題ではありませんか?この埋め込みリンクからScriptDbデータを変更できないことを確認できますか?

4

1 に答える 1

0

スクリプトが作成する ScritpDb には、そのスクリプトのコードからのみアクセスできます。公開されたスクリプトへの URL を持っているか、なんらかの形式のコードを持っていても、ScriptDb へのアクセスは許可されません。

ただし、doGet特定の予測可能なパラメーターが渡された場合に、すべてのデータをやみくもに HTML 出力にダンプしている場合、それは悪いことです。しかし、それはプログラミングエラーと見なされます。

つまり、ScriptDb が適切な Apps Script で適切にラップされている場合、その ScriptDb へのアクセスは安全です。

安全ではないかもしれないと心配しているものに関するコードを共有していただければ、さらに明確にすることができます。

于 2012-11-14T21:51:50.353 に答える