我正在寻求开发一个 Google 文档插件,并正在尝试考虑安全最佳实践。当安装浏览器扩展时,它显然会被完全下载到客户端(它不能被信任),但是 Google Docs 插件呢?如果我有需要插件处理的重要/敏感数据,是否可以直接在那里进行处理,或者我应该将数据发送到我的服务器进行处理,就像它是扩展程序/网站/移动应用程序一样?
只要您清理并验证从用户界面获得的输入,就可以在 Google Apps 脚本中进行处理。
Apps 脚本在 Google 的服务器上运行,而不是在网络浏览器中运行。用户无法看到附加源代码。
编辑器插件用户界面使用 HTML/CSS/JavaScript 构建,并在客户端中运行。用户可以在运行时检查和修改这些用户界面。客户端代码通常通过
google.script工作区附加组件使用基于卡片的模型,其中用户界面是使用清单和 API 调用构建的。结果由客户端通过 HTML 和朋友呈现。