开发Microsoft Teams选项卡应用安全注意事项

我们都知道,为了方便广大的开发人员快速开发Microsoft Teams选项卡应用,微软提供了一个JS SDK,你可以通过这里 https://docs.microsoft.com/en-us/javascript/api/overview/msteams-client?view=msteams-client-js-latest#:~:text=Microsoft%20Teams%20JavaScript%20client%20SDK%201%20Finding%20the,can%20use%20import%20syntax%20to%20import%20specific%20modules. 了解更多详情。

在这个SDK中,我们经常会用Context对象去获取当前的上下文信息,例如用户信息啦,所在的团队或频道信息等等。

https://docs.microsoft.com/en-us/javascript/api/@microsoft/teams-js/context?view=msteams-client-js-latest

但是这里其实有一个潜在的安全问题:如果这个网页不是在Teams中运行,而是被别有用心的人员在外部套了一个iframe,并且模拟了一个类似的Context对象的话,有可能进行安全方面的攻击。

那么,如果设计一个更加安全的机制,不允许我们的网页被其他系统随意地用iframe嵌入,只允许在Teams中进行嵌入呢?

可以通过X-Frame-options这个服务器选项来控制。请参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

但这个选项目前要么设置所有域都不能访问(DENY),要么设置只有当前网站能嵌入(SAMEORIGIN)

 

第三个选项现在是不推荐使用的,取而代之的是一个新的HTTP Header,叫做CSP, Content-Security-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

 

 

你需要将如下几个域名加入进去

teams.microsoft.com

*.teams.microsoft.com

*.skype.com *.sharepoint.com

outlook.office.com

and the current host

 

 

如果你是用nodejs来开发,现在也有一个简单的做法来实现这样的需求

https://www.npmjs.com/package/express-msteams-host

 

 

在具体的代码中,还可以很容易地检测当前是不是在Teams中运行,如下范例代码

人已赞赏
经验教程

HTTPS原理解析

2021-2-18 17:39:00

经验教程

Protobuf入门

2021-2-18 17:58:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索