Compartilhar via


Considerações sobre a segurança de permissão de script personalizado

Permitir que os utilizadores personalizem sites e páginas no SharePoint ao inserir scripts pode dar-lhes flexibilidade para responder a diferentes necessidades na sua organização. No entanto, deve estar ciente das implicações de segurança do script personalizado.

Quando permite que os utilizadores executem scripts personalizados, já não pode impor a governação, definir o âmbito das capacidades do código inserido, bloquear partes específicas do código ou bloquear todo o código personalizado que tenha sido implementado. Em vez de permitir scripts personalizados, recomendamos que utilize o SharePoint Framework. Para obter mais informações, consulte Uma alternativa ao script personalizado.

O que o script personalizado pode fazer

Todos os scripts que são executados numa página do SharePoint (seja uma página HTML numa biblioteca de documentos ou um JavaScript numa Peça Web Editor de Scripts) são sempre executados no contexto do utilizador que visita a página e a aplicação SharePoint. Isso significa que:

  • Os scripts têm acesso a tudo o que o utilizador tem acesso.

  • Os scripts podem aceder a conteúdos em vários serviços do Microsoft 365 e mesmo além da integração do Microsoft Graph.

Não pode auditar a inserção de script

Como Administrador do SharePoint ou superior, pode permitir ou bloquear capacidades de scripts personalizados para toda a organização ou para coleções de sites específicas. (Para obter informações sobre como fazê-lo, consulte Permitir ou impedir scripts personalizados.) No entanto, assim que permitir scripts, não pode identificar:

  • Que código foi inserido

  • Onde o código foi inserido

  • Quem inseriu o código

Qualquer utilizador que tenha a permissão "Adicionar e Personalizar Páginas" (parte dos níveis de permissão Estrutura e Controlo Total) a qualquer página ou biblioteca de documentos pode inserir código que possa potencialmente ter um efeito poderoso em todos os utilizadores e recursos na organização.

O script tem acesso a mais do que apenas a página ou site – pode aceder a conteúdos em todas as coleções de sites e outros serviços do Microsoft 365 na organização. Não existem limites para a execução do script. Para obter informações sobre a atividade do site que pode auditar, consulte Configurar definições de auditoria para uma coleção de sites.

Não pode bloquear ou remover o script inserido

Se tiver permitido um script personalizado, pode alterar a definição para impedir mais tarde os utilizadores de adicionarem scripts personalizados, mas não pode bloquear a execução do script que já foi inserido. Se for inserido um script perigoso ou malicioso, a única forma de o parar é eliminar a página que o aloja. Isto pode resultar na perda de dados.

Uma alternativa ao script personalizado

O SharePoint Framework é um modelo de páginas e peças Web que fornece uma forma governada e totalmente suportada de criar soluções com tecnologias de scripting com suporte para ferramentas open source. Principais funcionalidades do SharePoint Framework:

  • A arquitetura é executada no contexto do utilizador atual e da ligação no browser.

  • Os controlos são compostos na página normal Modelo de Objeto de Documento (DOM).

  • Os controlos são reativos e acessíveis.

  • Os programadores podem aceder ao ciclo de vida. Além disso, para compor, podem aceder à carga, serializar e anular a serialização, alterações de configuração e muito mais.

  • Pode utilizar qualquer arquitetura de browser de que goste: React, Handlebars, Knockout, Angular e muito mais.

  • A cadeia de ferramentas baseia-se em ferramentas de desenvolvimento de cliente de software livre comuns, como npm TypeScript, Yeoman, webpack e gulp.

  • Os administradores têm ferramentas de governação para desativar imediatamente as soluções, independentemente do número de instâncias que foram utilizadas e do número de páginas ou sites em que foram utilizadas.

  • As soluções podem ser implementadas em peças Web e páginas que utilizam a experiência clássica ou a nova experiência.

  • Apenas administradores globais, administradores do SharePoint e pessoas a quem foi dada permissão para gerir o site Aplicações podem adicionar soluções. Para obter informações sobre como dar permissão aos utilizadores para gerir o site Aplicações, veja Pedir permissões de instalação de aplicações.