HTML 서비스: 제한사항

사용자에게 악성 HTML 또는 자바스크립트가 게재되지 않도록 보호하기 위해 Apps Script는 iframe을 사용하여 HTML 서비스 웹 앱 또는 Google Docs, Sheets, Forms용 맞춤 사용자 인터페이스를 샌드박스에 사용합니다. HTML 서비스는 이메일 본문 생성과 같은 다른 상황에서는 샌드박스를 사용하지 않습니다. 샌드박스는 클라이언트 측 코드를 제한합니다.

샌드박스 모드

이제 IFRAME을 제외한 모든 샌드박스 모드가 종료됩니다. 이전 샌드박스 모드를 사용하는 앱은 이제 자동으로 최신 IFRAME 모드를 사용합니다. 이전 모드 (NATIVEEMULATED)를 사용하여 개발된 스크립트가 있는 경우 이전 안내에 따라 IFRAME 모드에서 제대로 작동하는지 확인해야 합니다.

이제 setSandboxMode 메서드는 호출되어도 아무런 영향을 미치지 않습니다.

IFRAME 모드의 제한사항

IFRAME 샌드박스 모드는 다음 키워드를 사용하여 HTML5의 iframe 샌드박스 기능을 기반으로 합니다.

  • allow-same-origin
  • allow-forms
  • allow-scripts
  • allow-popups
  • allow-downloads
  • allow-modals
  • allow-popups-to-escape-sandbox
  • allow-top-navigation-by-user-activation - 이 속성은 독립형 스크립트 프로젝트에만 설정됩니다.

콘텐츠가 최상위 탐색 컨텍스트를 탐색할 수 있게 해주는 allow-top-navigation 키워드는 제한되며 샌드박스에서 속성으로 설정되지 않습니다. 스크립트를 리디렉션해야 하는 경우 사용자가 작업할 수 있도록 링크나 버튼을 추가합니다.

IFRAME 모드에서 링크 대상 속성을 _top 또는 _blank로 설정해야 합니다.

Code.js

function doGet() {
  var template = HtmlService.createTemplateFromFile('top');
  return template.evaluate().setSandboxMode(HtmlService.SandboxMode.IFRAME);
}

top.html

<!DOCTYPE html>
<html>
 <body>
   <div>
     <a href="http://google.com" target="_top">Click Me!</a>
   </div>
 </body>
</html>

주변 웹페이지의 헤드 섹션 내에 있는 <base> 태그를 사용하여 이 속성을 재정의할 수도 있습니다.

<!DOCTYPE html>
<html>
  <head>
    <base target="_top">
  </head>
  <body>
   <div>
     <a href="http://google.com">Click Me!</a>
   </div>
 </body>
</html>

활성 콘텐츠에 HTTPS 필요

스크립트, 외부 스타일시트, XmlHttpRequest와 같은 '활성' 콘텐츠는 HTTP가 아닌 HTTPS를 통해 로드해야 합니다.