0

我最近向 Google Play 上传了一个 android 应用程序,并且我收到了众所周知的安全漏洞警告Apache Cordova 安全漏洞。我有点困惑,因为我使用的是 Cordova CLI 6.0.0 和 Cordova Android 5.1.1。我做错了什么?

项目信息:

>cordova platform ls
Installed platforms: android 5.1.1
Available platforms: amazon-fireos, blackberry10, browser, firefoxos, webos, windows, windows8, wp8

>cordova --version
6.0.0

>cordova plugin ls
cordova-plugin-device 1.1.2-dev "Device"
cordova-plugin-dialogs 1.2.1-dev "Notification"
cordova-plugin-file 4.1.2-dev "File"
cordova-plugin-file-transfer 1.5.1-dev "File Transfer"
cordova-plugin-geolocation 2.1.1-dev "Geolocation"
cordova-plugin-globalization 1.0.3-dev "Globalization"
cordova-plugin-inappbrowser 1.3.1-dev "InAppBrowser"
cordova-plugin-network-information 1.2.1-dev "Network Information"
cordova-plugin-splashscreen 3.2.1-dev "Splashscreen"
cordova-plugin-whitelist 1.2.2-dev "Whitelist"

我尝试在 config.xml 中添加/删除下一行

<plugin name="cordova-plugin-whitelist" spec="1" />
<access origin="*" />
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />
<allow-intent href="tel:*" />
<allow-intent href="sms:*" />
<allow-intent href="mailto:*" />
<allow-intent href="geo:*" />
<platform name="android">
    <allow-intent href="market:*" />
</platform>

我也尝试在 index.html 中添加和删除下一行

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

这是我从 Google Play 团队收到的电子邮件:

您好 Google Play 开发者,

我们拒绝了 XXXXXX,包裹 ID XXXXXXX,因为它违反了我们的恶意行为政策。如果您提交了更新,您的应用的旧版本仍可在 Google Play 上使用。

此应用程序使用包含用户安全漏洞的软件。

以下是在您最近提交的文件中检测到的漏洞列表和相应的 APK 版本。请尽快升级您的应用并增加升级后 APK 的版本号。

漏洞 APK 版本 Apache Cordova 漏洞已在 Apache Cordova v.3.5.1 中修复。

您可以在这篇Google 帮助中心文章中找到更多信息和后续步骤。

4

2 回答 2

3

正如@jcesarmobile 所说,cordova 项目中有几个cordova.js 文件。我不仅必须更新 www 文件夹中的主要 cordova.js 文件,而且还必须手动更新其他文件夹中的这个文件(例如 /platform/android/assets/www);然后我能够在 Google Play 中上传没有安全警告的新版本。

于 2016-03-17T15:14:25.220 回答
0

一个很长的镜头 - 尽管他们正在寻找 XSS 暴露,但谷歌没有明确提到一个 - 但是您是否可能在其中添加了“不安全内联”<meta http-equiv="Content-Security-Policy" content="default-srcindex.html允许包含内联 Jscript?

于 2016-03-10T08:46:56.483 回答