我们使用VSTS仪表板并喜欢使用"嵌入式网页"小部件显示自定义信息。我们通过链接到服务器来实现这一点,在服务器中我们放置一些调用VSTS rest api的代码。我们使用存储在服务器上的个人访问令牌(PAT)进行身份验证
为简化此过程,我们可以使用嵌入式网页小部件将其指向html文件,从而完全跳过服务器和PAT。这个html文件将包含javascript并执行对VSTS的api调用并显示信息。然而,由于CORS限制,这是不可能的。我们需要提供一个PAT来执行使事情变得复杂的CORS。
解决此问题的一个方法是在VSTS中使用git托管html页面。如果我们这样做,CORS策略将匹配,但是不可能从git获取文件,内容类型为text / html,因此当放入窗口小部件时不会呈现html。
我还尝试了IFrame扩展,它允许来自data:URI的iframe但数据URI似乎有不同的来源,所以它不会传输cookie,这意味着它不会进行身份验证。
我理解存在安全风险,即可以代表任何正在查看仪表板的人执行api调用,因此如果不可能,可能是设计的。
是否可以在不使用PAT的情况下调用VSTS api的纯html制作VSTS小部件?
答案 0 :(得分:0)
不,您不能,您需要直接在扩展程序html文件中执行此操作。