Cordova-화이트리스트
이 플러그인을 통해 앱 탐색에 대한 화이트리스트 정책을 구현할 수 있습니다. 새로운 Cordova 프로젝트를 생성하면whitelist플러그인은 기본적으로 설치 및 구현됩니다. 당신은 열 수 있습니다config.xml 볼 파일 allow-intent Cordova에서 제공하는 기본 설정.
탐색 허용 목록
아래의 간단한 예에서는 일부 외부 URL에 대한 링크를 허용합니다. 이 코드는config.xml. 탐색file:// URL은 기본적으로 허용됩니다.
<allow-navigation href = "http://example.com/*" />
별표 기호 *는 여러 값을 탐색하는 데 사용됩니다. 위의 예에서는 모든 하위 도메인에 대한 탐색을 허용합니다.example.com. 프로토콜이나 호스트 접두사에도 동일하게 적용될 수 있습니다.
<allow-navigation href = "*://*.example.com/*" />
의도 화이트리스트
또한 있습니다 allow-intent시스템을 열 수있는 URL을 지정하는 데 사용되는 요소입니다. 당신은에서 볼 수 있습니다config.xml Cordova는 이미 우리에게 필요한 대부분의 링크를 허용했습니다.
네트워크 요청 화이트리스트
내부를 볼 때 config.xml 파일, 있습니다 <access origin="*" />요소. 이 요소는 Cordova 후크를 통해 앱에 대한 모든 네트워크 요청을 허용합니다. 특정 요청 만 허용하려면 config.xml에서 삭제하고 직접 설정할 수 있습니다.
이전 예에서와 동일한 원칙이 사용됩니다.
<access origin = "http://example.com" />
이것은 모든 네트워크 요청을 허용합니다 http://example.com.
콘텐츠 보안 정책
내 앱에 대한 현재 보안 정책을 볼 수 있습니다. head 요소 index.html.
<meta http-equiv = "Content-Security-Policy" content = "default-src
'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src
'self' 'unsafe-inline'; media-src *">
이것이 기본 구성입니다. 동일한 출처의 모든 것을 허용하고example.com, 다음을 사용할 수 있습니다-
<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">
모든 것을 허용 할 수도 있지만 CSS와 JavaScript를 동일한 출처로 제한하십시오.
<meta http-equiv = "Content-Security-Policy" content = "default-src *;
style-src 'self' 'unsafe-inline'; script-src 'self'
'unsafe-inline' 'unsafe-eval'">
초보자 용 튜토리얼이므로 기본 Cordova 옵션을 권장합니다. Cordova에 익숙해지면 다른 값을 시도해 볼 수 있습니다.