有人可以向我解释与 * 为 Cordova/PhoneGap url 白名单(即允许所有 url)相关的潜在安全漏洞吗?
问问题
1456 次
3 回答
1
我刚读了一篇文章,我想你会对它感兴趣。只需检查一下:
http://www.nerdybeardo.com/2013/11/phonegap-xss-vulnerabilities-visited/
于 2014-03-14T08:11:18.107 回答
0
我为一个需要安全移动应用程序的组织工作,出于安全考虑,我们已经排除了 Phonegap / Cordova。Cordova 提供了一个 javascript API,允许您控制手机的大部分硬件和主要操作系统组件。Web 视图允许您从可以调用这些 API 的任何地方加载脚本。这是一个简单的例子:-
- 我的 HTML5 Phonegap 应用程序从我的论坛站点嵌入了一个网页,以提供一些社交内容,
- 我的论坛站点对跨站点脚本的控制很差,
- 一个坏人发布了一个论坛帖子,其中嵌入了一些调用 Cordova API 以获取 AddressBook 联系人的 javascript,
- 您在我的应用程序上查看帖子,现在坏人拥有您的所有联系人。
应用程序本身或其使用的任何内容都可能存在 XSS 漏洞,从而使手机完全打开。
手机本身还可以进行其他几种攻击,特别是在手机越狱并且可以修改应用程序的 JS 内容的情况下。
于 2013-03-18T14:47:49.853 回答
0
这只是意味着您的应用程序将信任所有外部主机并能够与它们通信。您只需要确保您的应用程序不会让用户轻松跟踪可能危险的链接或输入数据。
如果您可以避免使用 * 那将是最好的,但如果您正在做类似 RSS 阅读器的事情,那么我看不到任何其他方式。
于 2012-05-07T15:06:15.403 回答