开发Microsoft Teams选项卡应用安全注意事项

我们都知道，为了方便广大的开发人员快速开发Microsoft Teams选项卡应用，微软提供了一个JS SDK，你可以通过这里 https://docs.microsoft.com/en-us/javascript/api/overview/msteams-client?view=msteams-client-js-latest#:~:text=Microsoft%20Teams%20JavaScript%20client%20SDK%201%20Finding%20the,can%20use%20import%20syntax%20to%20import%20specific%20modules. 了解更多详情。

在这个SDK中，我们经常会用Context对象去获取当前的上下文信息，例如用户信息啦，所在的团队或频道信息等等。

https://docs.microsoft.com/en-us/javascript/api/@microsoft/teams-js/context?view=msteams-client-js-latest

但是这里其实有一个潜在的安全问题：如果这个网页不是在Teams中运行，而是被别有用心的人员在外部套了一个iframe，并且模拟了一个类似的Context对象的话，有可能进行安全方面的攻击。

那么，如果设计一个更加安全的机制，不允许我们的网页被其他系统随意地用iframe嵌入，只允许在Teams中进行嵌入呢？

可以通过X-Frame-options这个服务器选项来控制。请参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

但这个选项目前要么设置所有域都不能访问（DENY)，要么设置只有当前网站能嵌入（SAMEORIGIN)

 

第三个选项现在是不推荐使用的，取而代之的是一个新的HTTP Header，叫做CSP， Content-Security-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

 

 

你需要将如下几个域名加入进去

teams.microsoft.com

*.teams.microsoft.com

*.skype.com *.sharepoint.com

outlook.office.com

and the current host

 

 

如果你是用nodejs来开发，现在也有一个简单的做法来实现这样的需求

https://www.npmjs.com/package/express-msteams-host

 

 

在具体的代码中，还可以很容易地检测当前是不是在Teams中运行，如下范例代码