0

我在谷歌站点中插入了一个谷歌应用程序脚本作为小工具。这个 GAS 实现了一个关于 html 服务的页面,旨在捕获用户数据并将其存储在另一个脚本的 ScriptDb 中。玩耍时,我注意到查看 google 站点的源代码,任何用户都可以通过显示在 Google 站点源上的 url 直接访问 GAS。我点击了这个链接,然后就有了 GAS!通过这个链接,我尝试将新数据保存到 ScriptDb,我发现幸运的是这是不可能的。这种行为不代表安全问题吗?我可以确定无法从此嵌入式链接修改 ScriptDb 数据吗?

4

1 回答 1

0

您的脚本创建的 ScritpDb 只能由该脚本的代码访问 - 仅仅因为您拥有已发布脚本的 URL,或者即使您有某种形式的代码也不能让您访问 ScriptDb。

但是,doGet如果您在传入某个可预测的参数时盲目地将所有数据转储到 HTML 输出中,那么这很糟糕。但这将被视为编程错误。

简而言之 - 如果您的 ScriptDb 使用适当的 Apps 脚本正确包装,那么对该 ScriptDb 的访问是安全的。

如果您围绕您担心可能不安全的内容分享一些代码,我可以澄清更多。

于 2012-11-14T21:51:50.353 回答