UrlFetchApp.fetch()

时间:2017-07-19 21:16:12

标签: security web google-apps-script

我有(1)带有绑定Google Apps脚本的Google表格电子表格,该脚本使用UrlFetchApp.fetch()向(2)我自己的Google Apps脚本网络应用程序发出请求(使用doGet()实现)。< / p>

当我发出请求时,我正在添加包含敏感信息的HTTP参数,例如:

https://script.google.com/macros/s/D83jfe2F543wj5s6U4Ws4I/exec姓名 =&约翰放大器;?的名字 = Smith和安培; 电子邮件 =johnsmith@hotmail.com&的 SSN = 123456789

问:从安全角度来看,是否正在添加这样的敏感参数?它是HTTPS,因此据我所知,URL应该是端到端加密的。

注意:有人可能会争辩说有人可能已经感染了用户计算机中的病毒以查看用户访问了哪些网址,但我只是运行此测试以找出GAS请求的来源,但他们没有甚至来自用户的计算机,而不是来自Mountain View中的Google服务器(所以似乎一切都在发生,并且#34;在幕后&#34;以安全的方式?):

function findMyIP() {
  var url = "https://www.iplocation.net/find-ip-address"; // IP finder website
  var response = UrlFetchApp.fetch(url); // Execute a GET request from GAS to that website
  SpreadsheetApp.getUi().showModelessDialog(HtmlService.createHtmlOutput(response.getContentText()), 'Website Display');
}

编辑 - 为未来读者澄清的图片(归功于Sandy Good的回答):

enter image description here

1 个答案:

答案 0 :(得分:1)

互动是以“安全的方式”完成的。 UrlFetchApp.fetch(url)请求只能从Google服务器发出。无法从用户(客户端)的浏览器中运行它。 Apps脚本使用HTTPS(最后的“S”),但我不确定它是否使用最新和最好的加密方法。您可以改为发出POST请求,并使用doPost(e)接收它并将数据放入有效负载中。

相关问题
最新问题