是否建议删除对不需要的PhoneGap API的访问权限?
例如,我们的应用不需要访问联系人数据库。
使用普通网页时,沙箱中的XSS漏洞仅会影响一个站点(浏览器可防止任何传染到其他站点)。使用PhoneGap应用程序时,默认情况下,XSS漏洞可以访问联系人列表或PhoneGap API的任何其他部分。
我想避免Skype的情况,即Skype中的XSS可用性允许攻击者复制其用户的地址簿:http://www.macnn.com/articles/11/09/20/users.address.books.could.be.copied/
答案 0 :(得分:2)
在您的应用中,在PhoneGap.plist / Plugins下,删除所有不需要的插件行 - 这将删除JavaScript的访问权限。
答案 1 :(得分:0)
PhoneGap是开源的。您可以在禁用这些功能的情况下制作自己的PhoneGap.js文件副本(将return false;作为函数的第一行或其他内容)。
在Android上你可以使用AndroidManifest.xml文件中的权限来做到这一点,但据我所知,iOS没有这样的功能。