Nowa wtyczka datasette-apps pozwala na hostowanie samodzielnych aplikacji HTML i JavaScript bezpośrednio w środowisku Datasette, działając w ograniczonym sandbox'u iframe. Aplikacje mogą wykorzystywać JavaScript do wykonywania zapytań SQL do danych przechowywanych w Datasette - zarówno zapytań tylko do odczytu, jak i operacji zapisu, jeśli zostaną skonfigurowane ze wcześniej zdefiniowanymi zapytaniami.
Bezpieczeństwo jest tutaj priorytetem. Aplikacje działające w iframe sandbox='allow-scripts allow-forms' nie mogą uzyskać dostępu do cookies czy localStorage, a dodatkowy nagłówek CSP (Content Security Policy) uniemożliwia im wysyłanie żądań HTTP do zewnętrznych hostów. To zabezpieczenie przed potencjalnie złośliwymi lub bugowymi aplikacjami, które mogłyby próbować wyeksfiltrować prywatne dane.
Koncepcja Datasette Apps pojawiła się jako eksperyment przy budowie mechanizmu podobnego do Claude Artifacts dla Datasette Agent, ale Willison szybko dostrzegł szerszy potencjał tego sandboxowanego podejścia. Rozwiązanie stanowi szczególnie ciekawą opcję dla tworzenia niestandardowych wizualizacji i interaktywnych narzędzi wokół danych bez konieczności budowania odrębnych aplikacji.