本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂 CloudWatch 小工具的安全性和 JavaScript
基於安全理由,傳回的 HTML 中不允許使用 JavaScript。移除 JavaScript 可避免許可提升問題,Lambda 函數的撰寫者會注入程式碼,這些程式碼可能會以高於在儀表板上檢視小工具的使用者的許可執行。
如果傳回的 HTML 包含任何 JavaScript 程式碼或其他已知的安全性漏洞,則會先從 HTML 清除,然後再呈現在儀表板上。例如,不允許 <iframe> 和 <use> 標籤,並且會將其移除。
自訂小工具預設不會在儀表板中執行。相反地,如果您信任其叫用的 Lambda 函數,則必須明確允許自訂小工具。您可以針對個別小工具和整個儀表板選擇允許一次或一律允許。您也可以拒絕個別小工具和整個儀表板的許可。
