与cordova /手机相关的潜在安全漏洞有哪些？

Question

有人可以向我解释与Cordova / PhoneGap网址白名单有*相关的潜在安全漏洞，即允许所有网址吗？

Answer 1

我刚读了一篇文章，我觉得你会很有趣。看看吧：

http://www.nerdybeardo.com/2013/11/phonegap-xss-vulnerabilities-visited/

Answer 2

这只意味着您的应用会信任所有外部主机并能够与他们通信。您只需要确保您的应用不会让用户轻松关注链接或输入可能存在危险的数据。

如果你能够使用*，那将是最好的，但如果你正在做类似RSS阅读器的事情，那么我看不到任何其他方式。

Answer 3

我为需要安全移动应用的组织工作，出于安全考虑，我们排除了Phonegap / Cordova。 Cordova提供了一个javascript API，允许您控制手机的大部分硬件和主要操作系统组件。 Web视图允许您从可以调用这些API的任何位置加载脚本。这是一个简单的例子： -

1. 我的HTML5 Phonegap应用程序在我的论坛网站上嵌入了一个网页，以提供一些社交内容，
2. 我的论坛网站对跨网站脚本的控制很差，
3. 一个坏人发布了一个论坛帖子，其中嵌入了一些调用Cordova API来获取AddressBook联系人的javascript，
4. 您在我的应用上查看帖子，现在坏人已经拥有了所有联系人。

应用程序本身或其消耗的任何内容都可能存在使手机全开的XSS漏洞。

还有其他一些可以在手机上进行的攻击，特别是如果手机被越狱并且可以修改应用程序的JS内容。