允许用户通过插入脚本自定义网站和 SharePoint 中的网页可以为其到不同的地址的灵活性您的组织中需要提供。但是,您应注意安全隐患的脚本开发。时允许用户运行脚本开发,您可以不再强制实施调控、 范围插入代码的功能、 阻止特定部分的代码,或阻止已部署的所有自定义代码。而不是允许脚本开发,我们建议使用 SharePoint 框架。有关详细信息,请参阅脚本开发的替代项。
可以执行哪些脚本开发
每个始终在 SharePoint 页面 (无论是文档库中的 HTML 页或脚本编辑器 Web 部件中JavaScript) 中运行的脚本的用户访问页和 SharePoint 应用程序的上下文中运行。这意味着:
脚本有权访问所有用户有权访问。
脚本可以访问内容跨多个 Office 365 服务和偶数超出 Microsoft Graph 集成。
不能审核插入的脚本
作为全局管理员、 安全管理员或 SharePoint 管理员,您可以允许或阻止整个组织或特定网站集的脚本开发功能。(有关如何执行此操作的信息,请参阅允许或阻止脚本开发。)但是,一旦您允许脚本,您不能确定:
已插入代码
代码插入位置
谁插入代码
任何用户拥有"添加和自定义网页"权限 (设计和完全控制权限级别的一部分) 到任何页或文档库可以插入可以可能会强大影响所有用户和资源组织中的代码。脚本有权访问多个页面或站点-它可以跨所有网站集和其他组织中的 Office 365 服务来访问内容。没有任何脚本执行的边界。有关网站活动信息您可以审核,请参阅Configure 审核网站集的设置。
您不能阻止或删除插入的脚本
如果您已允许脚本开发,您可以更改设置以更高版本禁止用户添加脚本开发,但不能阻止执行已插入的脚本。如果插入危险或恶意脚本,您可以将其停止的唯一方法是删除承载它的页面。这可能导致数据丢失。
替代方式脚本开发
SharePoint 框架提供了一种调控良好完全受支持的方法来构建解决方案使用的开放源代码工具脚本技术支持页和 web 部件模型。SharePoint 框架的主要功能:
当前用户和浏览器中的连接的上下文中运行框架。没有使用 Iframe。
在常规页上文档对象模型 (DOM) 中呈现控件。
控件是响应和可访问。
开发人员可以访问生命周期。除了呈现,他们可以访问负载、 序列化和反序列化,配置更改和更多内容。
您可以使用任何您喜欢的浏览器框架: 做出反应、 车、 Knockout、 AngularJS,等等。
Toolchain 基于类似 npm、 TypeScript、 Yeoman、 webpack 和大口常见开放源代码客户端开发工具。
Office 365 管理员安装管理工具,立即禁用解决方案而不考虑用过的实例数目和页或跨其已被使用,它们的站点数。
Web 部件和使用经典体验或新体验的页面中,可以部署解决方案。
全局管理员、 SharePoint 管理员和已被授予管理应用程序目录的权限的人员可以添加解决方案。