Насколько безопасен Office.context.ui.messageParent?

Question

Dialog API действительно великолепен при использовании с Office.context.ui.messageParent(). Но я не нахожу никакой документации, где упоминается, как и почему в отношении безопасности этого API. Я знаю только то, что он может отправить сообщение Родителю: 1. Текущая страница в диалоговом окне находится в том же домене, что и страница хоста. 2. На страницу загружена библиотека Office JavaScript.

Может кто-нибудь пролить свет на это?

Спасибо

Answer 1

В настоящее время Desktop Dialog создается в защищенной изолированной программной среде с ограничением URL-адреса Dialog, чтобы он находился в том же домене, или если домен объявлен в «Доменах приложений» в манифесте (ref: https://docs.microsoft.com/en-us/office/dev/add-ins/reference/manifest/appdomains ). Как Dialog, так и панель задач хоста работают внутри их безопасной Песочницы. Для API Office.context.ui.messageParent() мы используем IP C для отправки сообщения в соответствующую изолированную программную среду хоста, которая отправляет его зарегистрированному обработчику событий. Здесь только родительский процесс (Host Sandbox) песочницы Dialog может получить сообщение, что делает его очень безопасным.

Answer 2

Я не уверен на 100%, как он работает обработчиком за кулисами, но я думаю, что это своего рода IP C (межпроцессное взаимодействие), где дочерний процесс отправляет пару ключ / значение в родительский процесс, как, например, в электрон. AFAIK только родительский процесс может получить сообщение, поэтому оно должно быть защищено. Может быть, «Команда надстроек Outlook - MSFT» может предоставить больше идей.