开发Microsoft Teams选项卡应用安全注意事项
我们都知道,为了方便广大的开发人员快速开发Microsoft Teams选项卡应用,微软提供了一个JS SDK,你可以通过这里 https://docs.microsoft.com/en-us/javascript/api/overview/msteams-client?view=msteams-client-js-latest#:~:text=Microsoft%20Teams%20JavaScript%20client%20SDK%201%20Finding%20the,can%20use%20import%20syntax%20to%20import%20specific%20modules. 了解更多详情。
在这个SDK中,我们经常会用Context对象去获取当前的上下文信息,例如用户信息啦,所在的团队或频道信息等等。
但是这里其实有一个潜在的安全问题:如果这个网页不是在Teams中运行,而是被别有用心的人员在外部套了一个iframe,并且模拟了一个类似的Context对象的话,有可能进行安全方面的攻击。
那么,如果设计一个更加安全的机制,不允许我们的网页被其他系统随意地用iframe嵌入,只允许在Teams中进行嵌入呢?
可以通过X-Frame-options这个服务器选项来控制。请参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
但这个选项目前要么设置所有域都不能访问(DENY),要么设置只有当前网站能嵌入(SAMEORIGIN)
第三个选项现在是不推荐使用的,取而代之的是一个新的HTTP Header,叫做CSP, Content-Security-Policy
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
你需要将如下几个域名加入进去
teams.microsoft.com
*.teams.microsoft.com
*.skype.com *.sharepoint.com
outlook.office.com
and the current host
如果你是用nodejs来开发,现在也有一个简单的做法来实现这样的需求
https://www.npmjs.com/package/express-msteams-host
在具体的代码中,还可以很容易地检测当前是不是在Teams中运行,如下范例代码
