1. 首頁
  2. 問答
  3. 阿帕奇科爾多瓦安全漏洞

阿帕奇科爾多瓦安全漏洞

2016-03-09 96 views
0

我最近上傳了一個安卓應用到Google Play,我得到了衆所周知的安全漏洞警告Apache Cordova security vulnerability。我有點困惑,因爲我使用的是Cordova CLI 6.0.0和Cordova Android 5.1.1。我做錯了什麼?阿帕奇科爾多瓦安全漏洞

項目信息:

>cordova platform ls 
Installed platforms: android 5.1.1 
Available platforms: amazon-fireos, blackberry10, browser, firefoxos, webos, windows, windows8, wp8 

>cordova --version 
6.0.0 

>cordova plugin ls 
cordova-plugin-device 1.1.2-dev "Device" 
cordova-plugin-dialogs 1.2.1-dev "Notification" 
cordova-plugin-file 4.1.2-dev "File" 
cordova-plugin-file-transfer 1.5.1-dev "File Transfer" 
cordova-plugin-geolocation 2.1.1-dev "Geolocation" 
cordova-plugin-globalization 1.0.3-dev "Globalization" 
cordova-plugin-inappbrowser 1.3.1-dev "InAppBrowser" 
cordova-plugin-network-information 1.2.1-dev "Network Information" 
cordova-plugin-splashscreen 3.2.1-dev "Splashscreen" 
cordova-plugin-whitelist 1.2.2-dev "Whitelist"

我一直在努力,在config.xml中添加/刪除下一行

<plugin name="cordova-plugin-whitelist" spec="1" /> 
<access origin="*" /> 
<allow-intent href="http://*/*" /> 
<allow-intent href="https://*/*" /> 
<allow-intent href="tel:*" /> 
<allow-intent href="sms:*" /> 
<allow-intent href="mailto:*" /> 
<allow-intent href="geo:*" /> 
<platform name="android"> 
    <allow-intent href="market:*" /> 
</platform>

我也試過在index.html的

添加和刪除下一行 
<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

這是我從Google Play團隊收到的電子郵件:

您好谷歌Play開發者,

我們拒絕XXXXXX,包ID XXXXXXX,爲 違反我們的惡意行爲的政策。如果您提交了更新 ,則您的應用的先前版本仍可在Google Play上使用。

此應用使用含有安全漏洞的軟件,用於 用戶。

下面是最近提交中檢測到的漏洞和相應的APK 版本列表。請儘快升級 您的應用程序並增加升級版APK的版本號 。

漏洞APK版本Apache Cordova此漏洞的影響是 在Apache Cordova v.3.5.1中修復。

您可以在此Google Help Center article中找到更多信息和後續步驟。

來源

2016-03-09 acimutal

+2

搜索您的項目老cordova.js文件 – jcesarmobile

回答

3

正如@jcesarmobile所說,cordova項目中有幾個cordova.js文件。我不得不更新www文件夾中的主要cordova.js文件,但我不得不在其他文件夾(例如/ platform/android/assets/www)中手動更新此文件。那麼我就可以在Google Play中沒有安全警告的情況下上傳新版本。

來源

2016-03-17 15:14:25 acimutal

0

一個長鏡頭 - 以及一個未明確由谷歌提到,雖然他們正在尋找XSS風險 - 但你也許在你index.html增加了一個「不安全內聯」到<meta http-equiv="Content-Security-Policy" content="default-src以允許包括內嵌的Jscript?

來源

2016-03-10 08:46:56 decomplexity

+0

號我沒有在我的index.html中使用任何安全策略 – acimutal

相關問題

 相關問題