Apps Script menggunakan sandbox keamanan
untuk menyediakan isolasi pelindung untuk Google Workspace
aplikasi dalam situasi tertentu. Semua
mode sandbox kini akan dihentikan kecuali untuk IFRAME
. Aplikasi yang menggunakan mode sandbox lama
kini menggunakan mode IFRAME
baru secara otomatis.
Aplikasi yang sebelumnya menggunakan mode lama ini dengan Layanan HTML mungkin perlu
melakukan perubahan untuk mode IFRAME
, guna mengatasi perbedaan berikut:
- Anda sekarang harus mengganti atribut
target
link menggunakantarget="_top"
atautarget="_blank"
- File HTML yang ditayangkan oleh Layanan HTML harus menyertakan tag <!DOCTYPE html>, <html>, dan <body>
- Library loader native Google
api.js
tidak dimuat secara otomatis dalam modeIFRAME
- Pengguna alat pilih harus memanggil
setOrigin()
karena konten ditayangkan dari domain baru - Beberapa browser lama, termasuk IE9, tidak didukung
- Resource yang diimpor kini harus menggunakan HTTPS
- Pengiriman formulir tidak lagi dicegah secara default
Perbedaan ini dijelaskan di bagian berikut.
Menetapkan atribut target link
Dalam mode IFRAME
, Anda perlu menetapkan atribut target link ke _top
atau _blank
:
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate();
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
Anda juga dapat mengganti atribut ini menggunakan tag <base> di dalam bagian head pada halaman web yang mencakupnya:
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
Tag HTML tingkat atas
Di mode sandbox NATIVE
(dan EMULATED
), tag HTML tertentu akan otomatis ditambahkan ke file .html Apps Script, tetapi hal ini tidak terjadi saat menggunakan mode IFRAME
.
Untuk memastikan halaman project Anda ditayangkan dengan benar menggunakan IFRAME
, gabungkan konten halaman Anda dalam tag tingkat atas berikut:
<!DOCTYPE html>
<html>
<body>
<!-- Add your HTML content here -->
</body>
</html>
Library loader JavaScript native harus dimuat secara eksplisit
Skrip yang mengandalkan pemuatan otomatis library loader native api.js
harus diubah agar dapat memuat library ini secara eksplisit, seperti pada contoh berikut:
<script src="https://apis.google.com/js/api.js?onload=onApiLoad">
</script>
Perubahan Google Picker API
Saat menggunakan Google Picker API, Anda sekarang harus memanggil setOrigin()
saat membuat
PickerBuilder dan meneruskan google.script.host.origin
asal, seperti yang ditunjukkan
dalam contoh berikut:
function createPicker(oauthToken) {
var picker = new google.picker.PickerBuilder()
.addView(google.picker.ViewId.SPREADSHEETS) // Or a different ViewId
.setOAuthToken(oauthToken)
.setDeveloperKey(developerKey)
.setCallback(pickerCallback)
.setOrigin(google.script.host.origin) // Note the setOrigin
.build();
picker.setVisible(true);
}
Untuk contoh yang berfungsi penuh, lihat Dialog buka file.
Dukungan browser
Mode sandbox IFRAME
didasarkan pada fitur sandbox iframe di HTML5.
Hal ini tidak didukung di beberapa browser lama, seperti Internet Explorer 9. Hal ini dapat menjadi masalah jika project Apps Script Anda:
- menggunakan
HtmlService
, dan - sebelumnya menggunakan sandbox
EMULATED
atauNATIVE
Dengan memigrasikan aplikasi ini ke mode sandbox IFRAME
, aplikasi mungkin tidak lagi berfungsi di
beberapa browser lama (terutama IE9 dan versi sebelumnya) yang tidak mendukung fitur sandbox iframe
HTML5.
Aplikasi yang sudah meminta mode IFRAME
atau tidak menggunakan HtmlService
sama sekali
tidak akan terpengaruh oleh masalah ini.
HTTPS kini diperlukan untuk resource yang diimpor
Aplikasi sebelumnya yang mengimpor resource menggunakan HTTP harus diubah agar menggunakan HTTPS.
Pengiriman formulir tidak lagi dicegah secara default
Pada bagian NATIVE
, melakukan sandbox formulir HTML dicegah pengiriman dan navigasi halaman. Oleh karena itu, developer dapat menambahkan pengendali onclick
ke tombol kirim dan tidak perlu khawatir dengan apa yang terjadi setelahnya.
Namun, dengan mode IFRAME
, formulir HTML diizinkan untuk dikirim, dan jika elemen formulir tidak memiliki atribut action
yang ditentukan, formulir HTML akan dikirim ke halaman kosong.
Lebih buruk lagi, iframe dalam akan dialihkan ke halaman kosong sebelum pengendali onclick
memiliki kesempatan untuk menyelesaikannya.
Solusinya adalah menambahkan kode JavaScript ke halaman Anda yang mencegah elemen formulir benar-benar dikirim, sehingga pengendali klik memiliki waktu untuk berfungsi:
<script>
// Prevent forms from submitting.
function preventFormSubmit() {
var forms = document.querySelectorAll('form');
for (var i = 0; i < forms.length; i++) {
forms[i].addEventListener('submit', function(event) {
event.preventDefault();
});
}
}
window.addEventListener('load', preventFormSubmit);
</script>
Contoh lengkapnya dapat ditemukan di panduan HTMLService Komunikasi Klien-ke-Server.