为了防止向用户发送恶意 HTML 或 JavaScript,Apps 脚本使用 iframe 对 HTML 服务 Web 应用或 Google 文档、表格和表单的自定义界面进行沙盒化处理。(HTML 服务在其他情况下(例如生成电子邮件正文)不使用沙盒)。沙盒对客户端代码施加了限制。
沙盒模式
现在,除了 IFRAME
之外的所有沙盒模式都已停用。使用旧版沙盒模式的应用现在会自动使用新版 IFRAME
模式。如果您有使用旧版模式(NATIVE
和 EMULATED
)开发的脚本,则应该按照迁移说明进行操作,以确保这些脚本在 IFRAME
模式下可以正常运行。
现在,setSandboxMode
方法在调用时不起作用。
IFRAME 模式的限制
IFRAME
沙盒模式基于 HTML5 中的 iframe 沙盒功能,并使用以下关键字:
allow-same-origin
allow-forms
allow-scripts
allow-popups
allow-downloads
allow-modals
allow-popups-to-escape-sandbox
allow-top-navigation-by-user-activation
- 此属性仅适用于独立脚本项目。
allow-top-navigation
关键字(允许内容在其顶级浏览上下文中导航)受到限制,并且未在沙盒中设置为属性。如果您需要重定向脚本,可以添加一个链接或按钮供用户执行操作。
设置链接目标属性
在 IFRAME
模式下,您需要将链接目标属性设置为 _top
或 _blank
:
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
您还可以在封装网页的 head 部分中使用 <base>
标记来替换此属性:
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
主动内容要求使用 HTTPS
“活动”内容(如脚本、外部样式表和 XmlHttpRequests)必须通过 HTTPS(而非 HTTP)加载。