악의적인 HTML 또는 JavaScript가 사용자에게 제공되지 않도록 하기 위해 Apps Script는 iframe을 사용하여 HTML 서비스 웹 앱 또는 Google Docs, Sheets, Forms용 맞춤 사용자 인터페이스를 샌드박스 처리합니다. HTML 서비스는 이메일 본문을 생성하는 등 다른 상황에서는 샌드박스를 사용하지 않습니다. 샌드박스는 클라이언트 측 코드에 제한을 적용합니다.
샌드박스 모드
이제 IFRAME
를 제외한 모든 샌드박스 모드가 지원 중단됩니다. 이전 샌드박스 모드를 사용하는 앱은 이제 자동으로 최신 IFRAME
모드를 사용합니다. 이전 모드 (NATIVE
및 EMULATED
)를 사용하여 개발된 스크립트가 있는 경우 이전 안내에 따라 스크립트가 IFRAME
모드에서 제대로 작동하도록 해야 합니다.
이제 setSandboxMode
메서드를 호출해도 아무런 효과가 없습니다.
IFRAME 모드의 제한사항
IFRAME
샌드박스 모드는 다음 키워드를 사용하여 HTML5의 iframe 샌드박스 기능을 기반으로 합니다.
allow-same-origin
allow-forms
allow-scripts
allow-popups
allow-downloads
allow-modals
allow-popups-to-escape-sandbox
allow-top-navigation-by-user-activation
- 이 속성은 독립형 스크립트 프로젝트에만 설정됩니다.
콘텐츠가 최상위 탐색 컨텍스트를 탐색할 수 있는 allow-top-navigation
키워드는 제한되며 샌드박스에서 속성으로 설정되지 않습니다. 스크립트를 리디렉션해야 하는 경우 사용자가 대신 작업할 수 있는 링크나 버튼을 추가합니다.
링크 대상 속성 설정
IFRAME
모드에서는 링크 타겟 속성을 _top
또는 _blank
로 설정해야 합니다.
Code.js
function doGet() {
var template = HtmlService.createTemplateFromFile('top');
return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}
top.html
<!DOCTYPE html>
<html>
<body>
<div>
<a href="http://google.com" target="_top">Click Me!</a>
</div>
</body>
</html>
래핑 웹페이지의 head 섹션 내에 있는 <base>
태그를 사용하여 이 속성을 재정의할 수도 있습니다.
<!DOCTYPE html>
<html>
<head>
<base target="_top">
</head>
<body>
<div>
<a href="http://google.com">Click Me!</a>
</div>
</body>
</html>
활성 콘텐츠에 HTTPS 필요
스크립트, 외부 스타일시트, XmlHttpRequests와 같은 '활성' 콘텐츠는 HTTP가 아닌 HTTPS를 통해 로드되어야 합니다.