Apps Script는 사용자에게 악성 HTML 또는 JavaScript가 게재되지 않도록 보호하기 위해 iframe을 사용하여 HTML 서비스 웹 앱 또는 Google Docs, Sheets, Forms의 맞춤 사용자 인터페이스를 샌드박스에 보냅니다. HTML 서비스는 이메일 본문을 생성하는 등의 다른 상황에서는 샌드박스를 사용하지 않습니다. 샌드박스는 클라이언트 측 코드에 제한을 적용합니다.
샌드박스 모드
이제 IFRAME을 제외한 모든 샌드박스 모드가 지원 종료됩니다. 이전 샌드박스 모드를 사용하는 앱은 이제 최신 IFRAME 모드를 자동으로 사용합니다. 이전 모드 (NATIVE 및 EMULATED)를 사용하여 개발한 스크립트가 있는 경우 이전 안내에 따라 스크립트가 IFRAME 모드에서 제대로 작동하는지 확인해야 합니다.
이제 setSandboxMode 메서드를 호출해도 아무런 효과가 없습니다.
iframe 모드의 제한사항
IFRAME 샌드박스 모드는 다음 키워드를 사용하여 HTML5의 iframe 샌드박스 기능을 기반으로 합니다.
allow-same-originallow-formsallow-scriptsallow-popupsallow-downloadsallow-modalsallow-popups-to-escape-sandboxallow-top-navigation-by-user-activation- 이 속성은 독립형 스크립트 프로젝트에만 설정됩니다.
콘텐츠가 최상위 탐색 컨텍스트를 탐색할 수 있도록 하는 allow-top-navigation 키워드는 제한되며 샌드박스에서 속성으로 설정되지 않습니다. 스크립트를 리디렉션해야 하는 경우 대신 사용자가 조치를 취할 수 있는 링크나 버튼을 추가합니다.
링크 대상 속성 설정
IFRAME 모드에서는 링크 대상 속성을 _top 또는 _blank로 설정해야 합니다.
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
인클로징 웹페이지의 헤드 섹션 내에 <base> 태그를 사용하여 이 속성을 재정의할 수도 있습니다.
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
활성 콘텐츠에 HTTPS 필요
스크립트, 외부 스타일시트, XmlHttpRequests와 같은 '활성' 콘텐츠는 HTTP가 아닌 HTTPS를 통해 로드되어야 합니다.