为什么用Cordova白名单所有域是不好的呢?
为什么用Cordova白名单所有域是不好的呢?
提问于 2016-04-18 15:49:06
所以我为一个乐队设计了一个小型的android应用程序来展示他们的音乐,即将到来的节目.但是我使用了大量的外部资源,所以我使用Cordova白名单插件来获取我的资源。我已经读过很多次了,您不应该使用<allow-navigation href="*" />,因为有很多安全原因,而且它只应该在测试时使用,但是我找不到确切原因的例子。谷歌还没有在这个问题上帮助我,所以用上面的代码发布我的应用程序允许访问所有网站真的有什么害处吗?谢谢!
Stack Overflow用户
回答已采纳
发布于 2016-04-18 16:53:17
这是为了防止应用程序加载不受信任的页面,如果您查看cordova的安全指南,任何加载的脚本都可以直接访问cordova脚本。
基本上,有人可能会破坏您正在加载的页面之一,以便在其他域加载脚本,这些脚本以某种方式利用cordova脚本来满足攻击者的需要。通过白名单,您将阻止cordova加载这些脚本(仅从应用程序应该信任的源加载)。
安全指南
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/36698744
复制相关文章
相似问题
腾讯云开发者
