Autorizar URLs

Você usa listas de permissões para designar URLs específicos que são pré-aprovados para acesso pelo seu script ou complemento. As listas de permissões ajudam a proteger os dados dos usuários. Quando você define uma lista de permissões, os projetos de script não podem acessar URLs que não foram adicionados a ela.

Esse campo é opcional ao instalar uma implantação de teste, mas é obrigatório ao criar uma implantação com controle de versões.

Você usa listas de permissão quando seu script ou complemento realiza as seguintes ações:

• Recupera ou busca informações de um local externo (como endpoints HTTPS) usando o serviço UrlFetch do Apps Script. Para permitir URLs para busca, inclua o campo urlFetchWhitelist no arquivo de manifesto.
• Abre ou mostra um URL em resposta a uma ação do usuário. Obrigatório para complementos do Google Workspace que abrem ou mostram URLs externos ao Google. Para permitir URLs para abertura, inclua o campo addOns.common.openLinkUrlPrefixes no arquivo de manifesto.

Adicionar prefixos à lista de permissões

Ao especificar listas de permissões no arquivo de manifesto (incluindo o campo addOns.common.openLinkUrlPrefixes ou urlFetchWhitelist), é necessário incluir uma lista de prefixos de URL. Os prefixos adicionados ao manifesto precisam atender aos seguintes requisitos:

• Cada prefixo precisa ser um URL válido.
• Cada prefixo precisa usar https://, não http://.
• Cada prefixo precisa ter um domínio completo.
• Cada prefixo precisa ter um caminho não vazio. Por exemplo, https://www.google.com/ é válido, mas https://www.google.com não é.
• Você pode usar caracteres curinga para corresponder a prefixos de subdomínio de URL.
• Um único caractere curinga * pode ser usado no campo addOns.common.openLinkUrlPrefixes para corresponder a todos os links, mas isso não é recomendado porque pode expor os dados de um usuário a riscos e prolongar o processo de revisão de complementos. Use um caractere curinga apenas se a funcionalidade do complemento exigir.

Ao determinar se um URL corresponde a um prefixo na lista de permissões, as seguintes regras são aplicadas:

• A correspondência de caminhos diferencia maiúsculas de minúsculas.
• Se o prefixo for idêntico ao URL, será uma correspondência.
• Se o URL for igual ou um filho do prefixo, será uma correspondência.

Por exemplo, o prefixo https://example.com/foo corresponde aos seguintes URLs:

• https://example.com/foo
• https://example.com/foo/
• https://example.com/foo/bar
• https://example.com/foo?bar
• https://example.com/foo#bar

Como usar caracteres curinga

Você pode usar um único caractere curinga (*) para corresponder a um subdomínio nos campos urlFetchWhitelist e addOns.common.openLinkUrlPrefixes. Não é possível usar mais de um caractere curinga para corresponder a vários subdomínios, e o caractere curinga precisa representar o prefixo inicial do URL.

Por exemplo, o prefixo https://*.example.com/foo corresponde aos seguintes URLs:

• https://subdomain.example.com/foo
• https://any.number.of.subdomains.example.com/foo

O prefixo https://*.example.com/foo não corresponde aos seguintes URLs:

• https://subdomain.example.com/bar (sufixos diferentes)
• https://example.com/foo (pelo menos um subdomínio precisa estar presente)

Algumas das regras de prefixo são aplicadas quando você tenta salvar o manifesto. Por exemplo, os seguintes prefixos causam um erro se estiverem presentes no manifesto quando você tenta salvar:

• https://*.*.example.com/foo (não é permitido usar vários caracteres curinga)
• https://subdomain.*.example.com/foo (os caracteres curinga precisam ser usados como um prefixo inicial)