グーグルサイトにガジェットとしてグーグルアプリスクリプトを挿入しました。このGASは、htmlサービスのページを実装し、ユーザーデータをキャプチャして、別のスクリプトのScriptDbに保存することを目的としています。遊んでみると、Googleサイトのソースコードを表示すると、すべてのユーザーがGoogleサイトのソースに表示されているURLを介してGASに直接アクセスできることに気付きました。このリンクをたどると、GASがありました!このリンクから、新しいデータをScriptDbに保存しようとしましたが、幸いなことにこれは不可能であることがわかりました。この動作はセキュリティの問題ではありませんか?この埋め込みリンクからScriptDbデータを変更できないことを確認できますか?
1 に答える
0
スクリプトが作成する ScritpDb には、そのスクリプトのコードからのみアクセスできます。公開されたスクリプトへの URL を持っているか、なんらかの形式のコードを持っていても、ScriptDb へのアクセスは許可されません。
ただし、doGet特定の予測可能なパラメーターが渡された場合に、すべてのデータをやみくもに HTML 出力にダンプしている場合、それは悪いことです。しかし、それはプログラミングエラーと見なされます。
つまり、ScriptDb が適切な Apps Script で適切にラップされている場合、その ScriptDb へのアクセスは安全です。
安全ではないかもしれないと心配しているものに関するコードを共有していただければ、さらに明確にすることができます。
于 2012-11-14T21:51:50.353 に答える