Cordova 白名單

這個(gè)插件允許我們實(shí)現(xiàn)應(yīng)用程序?qū)Ш降陌酌麊握摺?/span> 當(dāng)我們創(chuàng)建新的Cordova項(xiàng)目時(shí)，默認(rèn)情況下會(huì)安裝并實(shí)施白名單插件。您可以打開 config.xml 文件，查看Cordova提供的 allow-intent 默認(rèn)設(shè)置。

導(dǎo)航白名單

在下面的簡單示例中，我們?cè)试S鏈接到一些外部URL。此代碼位于 config.xml 中。默認(rèn)情況下允許導(dǎo)航到 file:// 網(wǎng)址。

<allow-navigation href = "http://example.com/*" />

星號(hào)符號(hào) * 用于允許導(dǎo)航到多個(gè)值。在上面的示例中，我們?cè)试S導(dǎo)航到 example.com 的所有子域。同樣可以應(yīng)用于協(xié)議或前綴到主機(jī)。

<allow-navigation href = "*://*.example.com/*" />

意向白名單

還有 allow-intent 元素，用于指定允許打開系統(tǒng)的URL。 您可以在 config.xml 中看到Cordova已經(jīng)允許我們使用大部分所需的鏈接。

網(wǎng)絡(luò)請(qǐng)求白名單

當(dāng)您查看 config.xml 文件中時(shí)，有< access origin =“*"/> 元素。此元素允許通過Cordova鉤子對(duì)我們的應(yīng)用程序的所有網(wǎng)絡(luò)請(qǐng)求。如果您只想允許特定請(qǐng)求，可以從 config.xml 中刪除它，然后自行設(shè)置。

使用與前述實(shí)施例相同的原理。

<access origin = "http://example.com" />

這將允許來自 http://example.com 的所有網(wǎng)絡(luò)請(qǐng)求。

內(nèi)容安全策略

您可以在 index.html 中的 head 元素中查看應(yīng)用程式目前的安全性政策

<meta http-equiv = "Content-Security-Policy" content = "default-src 
   'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 
   'self' 'unsafe-inline'; media-src *">

這是默認(rèn)配置。如果您要允許來自相同原點(diǎn)和 example.com 的所有內(nèi)容，您可以使用 -

<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">

您也可以允許所有內(nèi)容，但將CSS和JavaScript限制為相同的來源。

<meta http-equiv = "Content-Security-Policy" content = "default-src *; 
   style-src 'self' 'unsafe-inline'; script-src 'self' 
   'unsafe-inline' 'unsafe-eval'">

由于這是初學(xué)者教程，我們建議使用默認(rèn)的Cordova選項(xiàng)。一旦你熟悉Cordova，你可以嘗試一些不同的值。