我想允许第三方应用(Zapier)执行Google脚本,并可以访问我组织内的Admin Directory API。为此,我需要允许每个人都具有链接来执行此脚本,该脚本采用参数来在组织内创建新用户。另外,如果有人能够编辑脚本,他们可能会造成很大的伤害。
有人知道如何防止这种情况发生或使整个过程变得安全吗? 什么是实际潜在威胁?
干杯
ranran_001 回答:潜在的安全漏洞-打开Google脚本?
正如@Dimu Designs和@James D所说,这可能不是最好的主意。
如果可能的话,直接与该服务集成可能会更好。将您的应用程序脚本公开为公共Web应用程序存在很多问题。拥有该Web应用程序URL的任何人都可以向该端点发送垃圾邮件请求,并耗尽整个系统的服务配额。
这不是编程问题。但是,实际上,您实际上是允许匿名用户以只读方式像您一样执行脚本。
考虑到配额,您也会遇到一个问题,如@Dimu Designs所述。
传递参数不能提供足够的保护,以抵御垃圾邮件攻击。只要通过GET或POST请求命中Web应用程序URL,它将计入“触发器总运行时”配额(因为doGet(e)和doPost(e)被视为触发器)以及“同时执行”配额。唯一真正的保护是限制对受信任方的访问。
最后,使用Apps Script进行此操作可能并非可行。通过Intranet内部执行此操作将是更好的解决方案。但是,如果使用Apps Script进行操作是唯一的选择,请当心该过程涉及的风险。