Condividi tramite


Considerazioni sulla sicurezza relative al consentire lo script personalizzato

Consentire agli utenti di personalizzare siti e pagine in SharePoint tramite l'inserimento di script può offrire la flessibilità necessaria per soddisfare esigenze diverse nell'organizzazione. Tuttavia, è necessario essere consapevoli delle implicazioni di sicurezza dello script personalizzato.

Quando si consente agli utenti di eseguire script personalizzati, non è più possibile applicare la governance, definire l'ambito delle funzionalità del codice inserito, bloccare parti specifiche del codice o bloccare tutto il codice personalizzato distribuito. Invece di consentire lo script personalizzato, è consigliabile usare SharePoint Framework. Per altre info, vedi Un'alternativa allo script personalizzato.

Operazioni che possono essere eseguite da script personalizzati

Ogni script eseguito in una pagina di SharePoint (che si tratti di una pagina HTML in una raccolta documenti o di un JavaScript in una web part editor di script) viene sempre eseguito nel contesto dell'utente che visita la pagina e l'applicazione SharePoint. Questo significa che:

  • Gli script hanno accesso a tutti gli elementi a cui l'utente ha accesso.

  • Gli script possono accedere al contenuto in diversi servizi di Microsoft 365 e anche oltre con l'integrazione di Microsoft Graph.

Non è possibile controllare l'inserimento dello script

In qualità di amministratore di SharePoint o superiore, è possibile consentire o bloccare le funzionalità di script personalizzate per l'intera organizzazione o per raccolte siti specifiche. Per informazioni su come eseguire questa operazione, vedi Consenti o impedisci script personalizzati. Tuttavia, dopo aver consentito lo scripting, non è possibile identificare:

  • Quale codice è stato inserito

  • Posizione in cui il codice è stato inserito

  • Chi ha inserito il codice

Qualsiasi utente che dispone dell'autorizzazione "Aggiungi e personalizza pagine" (parte dei livelli di autorizzazione Progettazione e controllo completo) a qualsiasi pagina o raccolta documenti può inserire codice che può potenzialmente avere un effetto potente su tutti gli utenti e le risorse dell'organizzazione.

Lo script ha accesso a più di una semplice pagina o sito: può accedere al contenuto in tutte le raccolte siti e in altri servizi di Microsoft 365 nell'organizzazione. Non esistono limiti per l'esecuzione di script. Per informazioni sull'attività del sito che è possibile controllare, vedi Configurare le impostazioni di controllo per una raccolta siti.

Non è possibile bloccare o rimuovere lo script inserito

Se è stato consentito lo script personalizzato, è possibile modificare l'impostazione in modo da impedire agli utenti di aggiungere script personalizzati, ma non è possibile bloccare l'esecuzione dello script già inserito. Se viene inserito uno script pericoloso o dannoso, l'unico modo per arrestarlo consiste nell'eliminare la pagina che la ospita. Ciò potrebbe causare la perdita di dati.

Un'alternativa allo script personalizzato

SharePoint Framework è un modello di pagina e web part che offre un modo regolamentato e completamente supportato per creare soluzioni usando tecnologie di scripting con supporto per gli strumenti open source. Funzionalità principali di SharePoint Framework:

  • Il framework viene eseguito nel contesto dell'utente corrente e della connessione nel browser.

  • Il rendering dei controlli viene eseguito nella pagina normale Dom (Document Object Model).

  • I controlli sono reattivi e accessibili.

  • Gli sviluppatori possono accedere al ciclo di vita. Inoltre, è possibile accedere a caricamento, serializzazione e deserializzazione, modifiche alla configurazione e altro ancora.

  • È possibile usare qualsiasi framework del browser: React, Handlebars, Knockout, Angular e altro ancora.

  • La toolchain si basa su strumenti di sviluppo client open source come npm, TypeScript, Yeoman, webpack e gulp.

  • Gli amministratori dispongono di strumenti di governance per disabilitare immediatamente le soluzioni indipendentemente dal numero di istanze usate e dal numero di pagine o siti in cui sono state usate.

  • Le soluzioni possono essere distribuite in web part e pagine che usano l'esperienza classica o la nuova esperienza.

  • Solo gli amministratori globali, gli amministratori di SharePoint e le persone a cui è stata concessa l'autorizzazione per gestire il sito app possono aggiungere soluzioni. Per informazioni su come concedere agli utenti l'autorizzazione per gestire il sito App, vedi Richiedere le autorizzazioni di installazione dell'app.