微软在Excel可能会出什么问题？

正如去年在微软的Ignite 2017大会上承诺的那样，该公司现在已经将自定义JavaScript函数引入Excel，以扩展其功能，更好地处理数据。

函数是用JavaScript编写的Excel电子表格，目前运行在各种平台上，包括Windows、macOS和Excel Online，允许开发人员创建自己强大的公式。

但我们看到了它的到来：

安全研究员查尔斯·达达曼利用这一功能展示了将CoinHive中臭名昭著的浏览器内加密货币挖掘脚本嵌入MS Excel电子表格并在打开时在后台运行是多么容易。

达达曼说：“为了在Excel中运行Coinhive，我遵循了微软的官方文档，只是添加了自己的功能”。

下面是微软的官方文档，学习如何在Excel中运行自定义JavaScript函数。

但是JavaScript for Excel带来的威胁更小，这就是为什么？

但是，应该注意的是，Excel加载项，即负责运行JavaScript自定义函数的API，在打开JS嵌入式电子表格后，默认情况下不会立即执行。

相反，用户第一次需要通过Excel加载项功能手动加载和运行JavaScript函数，之后每次在同一系统上打开Excel文件时，它都会自动执行。

此外，当您显式尝试在Excel工作表中运行连接到外部服务器的JavaScript函数时，Microsoft会提示用户允许或拒绝连接，以防止未经授权的代码执行。
因此，JavaScript for Excel在今天并不会构成太大威胁，除非有人找到一种方法来自动执行它，而不需要任何用户交互。

除此之外，微软还确认，Excel加载项目前依赖一个隐藏的浏览器进程来运行异步定制功能，但在未来，它将在某些平台上直接运行JavaScript以节省内存。

目前，针对Windows、Mac、iPad和Excel Online的开发者预览版中提供了Excel的JavaScript自定义功能，仅适用于注册了MS Office Insiders计划的Office 365订户。

微软将很快向更广泛的受众推出这一功能。