为什么使用Cordova将所有域列入白名单确实不好?

时间:2016-04-18 15:49:07

标签: android cordova phonegap-plugins cordova-plugins

所以我为一个乐队创建了一个小型的Android应用程序,只是为了展示他们的音乐,即将到来的节目......但我使用了很多外部资源,所以我使用Cordova白名单插件让我获得了我的资源。我已多次阅读,因为出于许多安全原因你不应该使用<allow-navigation href="*" />,它应该只在测试时使用,但我找不到一个确切原因的例子。谷歌还没有帮助我解决这个问题所以使用上面的代码行发布我的应用程序以允许访问所有网站真的有什么害处吗?谢谢!

1 个答案:

答案 0 :(得分:1)

这是为了防止app加载不受信任的页面,如果你检查了cordova的安全指南,任何加载的脚本都可以直接访问cordova脚本。

基本上,有人可能会破坏您正在加载的其中一个页面,以便在其他域上加载脚本,无论攻击者想要什么,它都会以某种方式利用cordova脚本。通过列入白名单,您可以阻止cordova加载这些脚本(仅从应用程序应该信任的来源加载)。

security guide