24、客户端脚本与服务门户脚本全解析

客户端脚本与服务门户脚本全解析

1. 客户端脚本安全

在网页交互中，用户加载页面和请求内容时所使用的浏览器就是执行操作的客户端。它不仅负责执行客户端脚本、UI 脚本和客户端 UI 操作，还需处理 UI 策略并应用相应的操作，比如控制字段是否为必填项、只读或可见。

虽然通过客户端脚本或 UI 策略隐藏字段或设置为只读，看似能有效保护内容，但要注意，用户可以轻易绕过这些客户端措施。因此，若要真正保护内容不被用户查看或修改，应使用 ACL（安全规则）。数据策略也是一种选择，它可作为客户端的 UI 策略，增强客户端组件的安全性和有效性。不过，ACL 也能在客户端工作，且数据策略不像 ACL 那样可编写脚本，实现复杂条件较为困难。

一般规则如下：
| 需求 | 建议使用方式 |
| — | — |
| 为特定角色保护表和字段 | 使用 ACL |
| 针对特定条件保护表和字段 | 使用 UI/数据策略 |

例如，只有具有 ITIL 角色的用户才能修改某个字段，应使用 ACL；而用户只有在“Active”字段设置为“true”时才能修改“State”字段，则可使用数据策略。

2. 兼容性问题

ServiceNow 运行在互联网上的服务器上，对兼容性要求不高，只要使用符合现代标准的浏览器和活跃的网络连接，几乎任何系统都能访问。但不同浏览器在执行客户端代码时存在细微差异，因此大多数 Web 应用（如 ServiceNow 的 Now 平台）会推荐特定的浏览器，以确保应用能有效渲染并符合现代 Web 标准。对于 ServiceNow 而言，推荐使用 Google Chrome。