Phonegap /科爾多瓦Whietlist邏輯

Question

Cordova文檔here非常清楚地解釋了Navigation和Intent白名單的用途。我不那麼清楚的是爲什麼他們是必要的。出現在由混合應用程序創建的webview中的可點擊鏈接由該應用程序「擁有」，因此它首先了解所有關於它們的信息？那麼它就不會去提供不應該被用戶點擊的鏈接。

顯然，我的推理存在缺陷，或者這些白名單規格選項不存在。我非常感謝所有可能解釋這些白名單背後的「意圖」的人。

Answer 1

正如@jcesarmobile在他的評論中所說的，當然取決於你的應用程序，黑客可以欺騙你的應用程序或用戶在應用程序中插入一些東西，這些東西可以鏈接到網絡上可能含有惡意代碼的源。由於他們知道你在科爾多瓦環境中運行，他們不僅可以訪問標準的Web JavaScript控件，而且可以運行任何插件，並可以執行任何可以執行的操作（撥打電話，請求用戶聯繫人等） 。如果您的應用程序顯示任何類型的輸入是從外部採購的，而您並沒有直接控制，並且在輸出之前錯過了任何清理工作，那麼您很容易受到XSS注入攻擊，因此白名單可以減少可用表示XSS注入（即他們無法從另一臺機器加載腳本）。