本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全性和 JavaScript
出於安全原因 JavaScript ,返回的 HTML 中不允許使用。移除可 JavaScript 防止權限提升問題,Lambda 函數的撰寫器會輸入程式碼,而這些程式碼可以比在儀表板上檢視 Widget 的使用者更高的權限執行。
如果返回的 HTML 包含任何 JavaScript 代碼或其他已知的安全漏洞,則在將其呈現在儀表板上之前從 HTML 中清除。例如,不允許 <iframe> 和 <use> 標籤,並且會將其移除。
自訂小工具預設不會在儀表板中執行。相反地,如果您信任其叫用的 Lambda 函數,則必須明確允許自訂小工具。您可以針對個別小工具和整個儀表板選擇允許一次或一律允許。您也可以拒絕個別小工具和整個儀表板的許可。
