Мы используем инструментальные панели VSTS и любим использовать виджет «встроенная веб-страница» для отображения настраиваемой информации.Мы делаем это, связываясь с сервером, на который мы помещаем некоторый код, который вызывает VSTS rest api.Мы проводим аутентификацию с помощью токенов личного доступа, хранящихся на сервере (PAT)
. Чтобы упростить этот процесс, мы могли бы вообще пропустить сервер и PAT с помощью встроенного виджета веб-страницы и указать его в HTML-файле.Этот HTML-файл будет содержать Javascript и выполнять API-вызовы VSTS и отображать информацию.Это, однако, невозможно из-за ограничений CORS.Нам нужно предоставить PAT для выполнения CORS, что усложняет ситуацию.
Чтобы обойти это, нужно разместить страницу html в git в VSTS.Если мы сделаем это, политика CORS будет соответствовать, но невозможно получить файл из git с типом содержимого text / html, поэтому HTML не отображается при вставке в виджет.
Я также попробовал IFrameрасширение, которое позволяет iframe из data: URI, но кажется, что URI данных имеют другое происхождение, поэтому он не передает cookie, что означает, что он не будет проходить аутентификацию.
Я понимаю, что существует угроза безопасности, что возможновыполнять вызовы API от имени всех, кто просматривает панель мониторинга, поэтому это может быть предусмотрено, если это невозможно.
Возможно ли создать виджет VSTS в чистом HTML, который вызывает VSTS api без использования PAT?