为什么使用 Cordova 将所有域列入白名单是不好的?
Why exactly is it bad to whitelist all domains with Cordova?
所以我为一个乐队创建了一个小的 android 应用程序来展示他们的音乐、即将到来的节目...但是我使用了很多外部资源所以我使用了 Cordova 白名单插件来允许我获取我的资源。我已经读过多次,你不应该使用 <allow-navigation href="*" /> 因为很多安全原因,它应该只在测试时使用,但我找不到一个例子来说明为什么。 Google 还没有帮助我解决这个问题,所以使用上面的代码行发布我的应用程序以允许访问所有站点真的有什么害处吗?谢谢!
这是为了防止应用加载不受信任的页面,如果你查看cordova的安全指南,任何加载的脚本都可以直接访问cordova脚本。
基本上,有人可能会破坏您正在加载的页面之一以在其他域上加载脚本,该脚本以某种方式利用 cordova 脚本来满足攻击者的任何需求。通过列入白名单,您可以阻止 cordova 加载这些脚本(仅从应用程序应该信任的来源加载)。
所以我为一个乐队创建了一个小的 android 应用程序来展示他们的音乐、即将到来的节目...但是我使用了很多外部资源所以我使用了 Cordova 白名单插件来允许我获取我的资源。我已经读过多次,你不应该使用 <allow-navigation href="*" /> 因为很多安全原因,它应该只在测试时使用,但我找不到一个例子来说明为什么。 Google 还没有帮助我解决这个问题,所以使用上面的代码行发布我的应用程序以允许访问所有站点真的有什么害处吗?谢谢!
这是为了防止应用加载不受信任的页面,如果你查看cordova的安全指南,任何加载的脚本都可以直接访问cordova脚本。
基本上,有人可能会破坏您正在加载的页面之一以在其他域上加载脚本,该脚本以某种方式利用 cordova 脚本来满足攻击者的任何需求。通过列入白名单,您可以阻止 cordova 加载这些脚本(仅从应用程序应该信任的来源加载)。