Use as listas de permissões para designar URLs específicos pré-aprovados para acesso pelo script ou complemento. As listas de permissões ajudam a proteger os dados do usuário. Quando você define uma lista de permissões, os projetos de script não podem acessar URLs que não foram incluídos na lista.
Esse campo é opcional quando você instala uma implantação de teste, mas é obrigatório quando você cria uma implantação com controle de versão.
Você usa listas de permissões quando seu script ou complemento realiza as seguintes ações:
- Recupera ou busca informações de um local externo (como endpoints
HTTPS) usando o serviço
UrlFetchdo Apps Script. Para autorizar URLs para busca, inclua o campourlFetchWhitelistno arquivo de manifesto. - Abre ou exibe um URL em resposta a uma ação do usuário (obrigatório para
complementos do Google Workspace que abrem ou exibem URLs externos ao
Google). Para permitir que URLs sejam abertos, inclua o campo
addOns.common.openLinkUrlPrefixesno arquivo de manifesto.
Como adicionar prefixos à sua lista de permissões
Ao especificar listas de permissões no seu arquivo de manifesto (incluindo os campos addOns.common.openLinkUrlPrefixes ou urlFetchWhitelist), é necessário incluir uma lista de prefixos de URL. Os prefixos adicionados ao manifesto precisam
atender aos seguintes requisitos:
- Cada prefixo precisa ser um URL válido.
- Cada prefixo precisa usar
https://, e nãohttp://. - Cada prefixo precisa ter um domínio completo.
- Cada prefixo precisa ter um caminho não vazio. Por exemplo,
https://www.google.com/é válido, mashttps://www.google.comnão é. - Você pode usar caracteres curinga para corresponder a prefixos de subdomínio do URL.
- Um único caractere curinga
*pode ser usado no campoaddOns.common.openLinkUrlPrefixespara corresponder a todas as vinculações, mas isso não é recomendado porque pode expor os dados de um usuário a riscos e prolongar o processo de revisão de complementos. Use um caractere curinga apenas se a funcionalidade do complemento exigir.
Ao determinar se um URL corresponde a um prefixo da lista de permissões, as regras a seguir se aplicam:
- A correspondência de caminho diferencia maiúsculas de minúsculas.
- Se o prefixo for idêntico ao URL, isso indica uma correspondência.
- Se o URL for o mesmo ou um filho do prefixo, é uma correspondência.
Por exemplo, o prefixo https://example.com/foo corresponde aos seguintes URLs:
https://example.com/foohttps://example.com/foo/https://example.com/foo/barhttps://example.com/foo?barhttps://example.com/foo#bar
Como usar caracteres curinga
É possível usar um único caractere curinga (*) para corresponder a um subdomínio nos campos urlFetchWhitelist e addOns.common.openLinkUrlPrefixes. Não é possível usar mais de um caractere curinga para corresponder a vários subdomínios.
Ele precisa representar o prefixo inicial do URL.
Por exemplo, o prefixo https://*.example.com/foo corresponde aos seguintes URLs:
https://subdomain.example.com/foohttps://any.number.of.subdomains.example.com/foo
O prefixo https://*.example.com/foo não corresponde aos seguintes URLs:
https://subdomain.example.com/bar(incompatibilidade de sufixo)https://example.com/foo(pelo menos um subdomínio precisa estar presente)
Algumas das regras de prefixo são aplicadas quando você tenta salvar o manifesto. Por exemplo, os prefixos a seguir causarão um erro se estiverem presentes no manifesto quando você tentar salvar:
https://*.*.example.com/foo(vários caracteres curinga são proibidos)https://subdomain.*.example.com/foo(caracteres curinga precisam ser usados como prefixo inicial)