セキュリティ上の理由から、返される HTML では JavaScript を使用できません。JavaScript を削除することで、Lambda 関数の記述者によって、ダッシュボードでウィジェットを表示しているユーザーよりも高度なアクセス許可を使用して実行するコードを挿入される、アクセス許可のエスカレーションの問題を回避できます。
返された HTML に JavaScript コードまたはその他の既知のセキュリティの脆弱性が含まれている場合は、ダッシュボードにレンダリングされる前に HTML から消去されます。例えば、<iframe> タグおよび <use> タグは許可されず、削除されます。
カスタムウィジェットは、ダッシュボードではデフォルトでは実行されません。代わりに、カスタムウィジェットが呼び出す Lambda 関数を信頼する場合は、カスタムウィジェットを実行することを明示的に許可する必要があります。個々のウィジェットとダッシュボード全体の両方で、一度許可するか、常に許可するかを選択できます。個々のウィジェットとダッシュボード全体のアクセス許可を拒否することもできます。
