问Nativescript - XSS预防

EN

从最严格的意义上讲，XSS的定义是否定的。然而，一般的安全漏洞--我猜这取决于您的应用程序的几个因素。在最严格的意义上，一个普通的应用程序的答案是否定的；因为在一个普通的应用程序中，它不是为了下载或运行任何外部或用户代码而编写的。因此，由于您不下载或运行任何外部代码，因此消除了这种风险。

所以在一个普通的应用程序中；不。然而，如果你做了一些应用程序，实际上允许第三人在你的应用程序中运行自己的JS；那么是的，通过运行任何JS，你打开了损害你的应用程序的机会。但这并不是真正的XSS，它只是你在允许其他人在你的应用中运行代码时创建的一个安全漏洞。(这对任何环境都是一样的，当你允许某人在你的应用程序中运行代码的那一刻；你为各种恶作剧打开了大门)

现在，如果这个“额外的”代码可以从网站上下载，那么你可能会遇到一个类似XSS的问题，"BadGuy“在你的网站上发布一个JS文件，然后在称赞他的脚本有多酷的同时，"NaiveGuy”下载并运行它。NaiveGuy的手机被你网站上的一个脚本攻破了...但同样，这也是您必须专门使这种类型的系统允许这种情况发生的东西；这不是NativeScript内置的问题……

两个音符；

1. 任何平台都可能会受到这个问题的影响；NativeScript，React Native，Ionic，Cordova，WebSites，Node，Java，C等--你允许BadGuy在你的应用程序中运行代码；你在安全方面遇到了很大的麻烦...
2. 如果你正在你的NativeScript应用程序(或任何其他语言)中使用WebView组件，那么WebView组件本身可能会有完全与NativeScript无关的问题，因为WebView是一个真正的网页浏览器组件，它将完全做Chrome或火狐在网站上做的事情……但是，由于NativeScript...

与WebView是隔离的，所以网站导致的NativeScript中的任何XSS问题都与WebView内部的问题无关