鉴于可以插入和检查 Cordova 应用程序,应用程序本质上是否不如本机编译代码安全?或者对于保留的内容和普通的 UIWebView 是否适用相同的规则?
问问题
618 次
1 回答
6
经过进一步研究:在当前版本的 Cordova 中,使用分发许可证编译的应用程序会阻止 Web 检查。
但是可以浏览您的 IPA 文件,因此您的源代码不应包含任何敏感信息。不要将个人信息保存到应用程序的沙箱(documents://、localstorage、web 目录),因为任何加密方法都很容易被发现和复制。将所有敏感信息保存到受密码保护的 API。
您还可以使用自定义 Cordova 插件来获取/设置敏感信息。最好的情况是使用自定义插件从安全的 API 服务器获取/设置信息(隐藏您的 API 参数)。
此外,将任何具有敏感值的 HTML 或 JS 视为有毒。尽快删除/删除它们(包括 jquery 缓存)。当应用程序移动到后台时,请特别努力从 DOM 中删除所有敏感信息。
TLDR;为生产而构建,您的应用程序的活动状态可以被视为与 RAM 中的任何内容一样安全,但您必须将所有敏感信息保存在设备之外或使用插件进行加密/解密。
于 2013-04-05T15:43:15.507 回答