# 自定义 CloudWatch 小组件的安全和 JavaScript
<a name="add_custom_widget_dashboard_security"></a>

出于安全原因，返回的 HTML 中不允许使用 JavaScript。删除 JavaScript 可防止出现权限升级问题，即 Lambda 函数的编写者注入的代码可能以比在控制面板上查看小组件的用户更高的权限运行。

如果返回的 HTML 包含任何 JavaScript 代码或其他已知的安全漏洞，则会在将其呈现在控制面板上之前，将其从 HTML 中清除。例如，**<iframe>** 和 **<use>** 标签是不允许的，将被删除。

默认情况下，自定义小组件不会在控制面板中运行。相反，如果您信任自定义小组件调用的 Lambda 函数，则必须明确允许其运行。对于单个小组件和整个控制面板，您可以选择允许一次或始终允许。您还可以拒绝对单个小组件和整个控制面板的权限。