我在谷歌网站中插入了谷歌应用程序脚本作为小工具。此GAS实现了一个关于html服务的页面,旨在捕获用户数据并将其存储在另一个脚本的ScriptDb中。玩转,我注意到查看谷歌网站的源代码,任何用户都可以通过谷歌网站源上显示的网址直接访问GAS。我按照这个链接,有GAS!从这个链接,我试图将新数据保存到ScriptDb,我发现幸运的是这是不可能的。这种行为不代表安全问题吗?我可以确定无法从此嵌入式链接修改ScriptDb数据吗?
答案 0 :(得分:0)
您的脚本创建的ScritpDb只能通过该脚本的代码访问 - 只是因为您拥有已发布脚本的URL,或者即使您拥有某种形式的代码,也不会授予您访问ScriptDb的权限。
但是,如果传入某个可预测的参数,如果你盲目地将所有数据转储到HTML输出,那么,如果你在doGet中,那么这就是坏事。但这将被视为编程错误。
简而言之 - 如果您的ScriptDb使用适当的Apps脚本正确包装,那么访问该ScriptDb是安全的。
如果你分担一些你担心的可能不安全的代码,我可以澄清一下。