HTML サービス: 制限

悪意のある HTML や JavaScript がユーザーに提供されるのを防ぐため、Apps Script は iframe を使用して、HTML サービス ウェブアプリまたは Google ドキュメント、スプレッドシート、フォームのカスタム ユーザー インターフェースをサンドボックス化します。(HTML サービスは、メールの本文の生成など、他の状況ではサンドボックスを使用しません)。サンドボックスでは、クライアントサイド コードに制限が適用されます。

サンドボックス モード

IFRAME を除くすべてのサンドボックス モードが廃止されました。古いサンドボックス モードを使用しているアプリは、新しい IFRAME モードを自動的に使用します。古いモード(NATIVEEMULATED)を使用して開発されたスクリプトがある場合は、移行手順に沿って、IFRAME モードで正常に機能するようにする必要があります。

setSandboxMode メソッドを呼び出しても効果がなくなりました。

IFRAME モードの制限

IFRAME サンドボックス モードは、HTML5 の iframe サンドボックス化機能に基づいており、次のキーワードを使用します。

コンテンツがトップレベルのブラウジング コンテキストを移動できるようにする allow-top-navigation キーワードは制限されており、サンドボックスでは属性として設定されません。スクリプトをリダイレクトする必要がある場合は、ユーザーが操作できるリンクまたはボタンを追加します。

IFRAME モードでは、リンク ターゲット属性を _top または _blank に設定する必要があります。

Code.js

function doGet() {
  var template = HtmlService.createTemplateFromFile('top');
  return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}

top.html

<!DOCTYPE html>
<html>
 <body>
   <div>
     <a href="http://google.com" target="_top">Click Me!</a>
   </div>
 </body>
</html>

この属性は、包含するウェブページの head セクション内の <base> タグを使用してオーバーライドすることもできます。

<!DOCTYPE html>
<html>
  <head>
    <base target="_top">
  </head>
  <body>
   <div>
     <a href="http://google.com">Click Me!</a>
   </div>
 </body>
</html>

アクティブなコンテンツには HTTPS が必要です

スクリプト、外部スタイルシート、XmlHttpRequest などの「アクティブ」コンテンツは、HTTP ではなく HTTPS 経由で読み込む必要があります。