HTML サービス: 制限

悪意のある HTML や JavaScript がユーザーに配信されないように、Apps Script では iframe を使用して、HTML サービス ウェブアプリや Google ドキュメント、スプレッドシート、フォームのカスタム ユーザー インターフェースをサンドボックス化します。（HTML サービスは、メールの本文の生成など、他の状況ではサンドボックスを使用しません）。サンドボックスでは、クライアントサイド コードに制限が課されます。

サンドボックス モード

IFRAME を除くすべてのサンドボックス モードが廃止されました。古いサンドボックス モードを使用しているアプリは、新しい IFRAME モードを自動的に使用するようになります。古いモード（NATIVE と EMULATED）を使用して開発されたスクリプトがある場合は、移行手順に沿って、IFRAME モードで適切に機能するようにする必要があります。

setSandboxMode メソッドは、呼び出されても効果がなくなりました。

IFRAME モードの制限事項

IFRAME サンドボックス モードは、HTML5 の iframe サンドボックス化機能に基づいており、次のキーワードを使用します。

• allow-same-origin
• allow-forms
• allow-scripts
• allow-popups
• allow-downloads
• allow-modals
• allow-popups-to-escape-sandbox
• allow-top-navigation-by-user-activation - この属性は、スタンドアロン スクリプト プロジェクトでのみ設定されます。

コンテンツが最上位のブラウジング コンテキストをナビゲートできるようにする allow-top-navigation キーワードは制限されており、サンドボックスの属性として設定されていません。スクリプトをリダイレクトする必要がある場合は、ユーザーがアクションを実行するためのリンクまたはボタンを追加します。

リンク ターゲット属性の設定

IFRAME モードでは、リンク ターゲット属性を _top または _blank のいずれかに設定する必要があります。

function doGet() {
  var template = HtmlService.createTemplateFromFile('top');
  return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}

<!DOCTYPE html>
<html>
 <body>
   <div>
     <a href="http://google.com" target="_top">Click Me!</a>
   </div>
 </body>
</html>

この属性は、囲みウェブページの head セクション内の <base> タグを使用してオーバーライドすることもできます。

<!DOCTYPE html>
<html>
  <head>
    <base target="_top">
  </head>
  <body>
   <div>
     <a href="http://google.com">Click Me!</a>
   </div>
 </body>
</html>

アクティブ コンテンツには HTTPS が必要

スクリプト、外部スタイルシート、XmlHttpRequest などのアクティブ コンテンツは、HTTP ではなく HTTPS 経由で読み込む必要があります。