Кордова - Белый список
Этот плагин позволяет нам реализовать политику белого списка для навигации по приложению. Когда мы создаем новый проект Кордовы,whitelistплагин установлен и реализован по умолчанию. Вы можете открытьconfig.xml файл, чтобы увидеть allow-intent настройки по умолчанию предоставлены Cordova.
Белый список навигации
В простом примере ниже мы разрешаем ссылки на некоторый внешний URL. Этот код помещен вconfig.xml. Переход кfile:// URL-адреса разрешены по умолчанию.
<allow-navigation href = "http://example.com/*" />
Знак звездочки * используется для перехода к нескольким значениям. В приведенном выше примере мы разрешаем навигацию по всем поддоменамexample.com. То же самое можно применить к протоколу или префиксу хоста.
<allow-navigation href = "*://*.example.com/*" />
Белый список намерений
Также есть allow-intentэлемент, который используется для указания, с каких URL разрешено открывать систему. Вы можете увидеть вconfig.xml что Кордова уже разрешила нам большинство необходимых ссылок.
Белый список сетевых запросов
Когда ты смотришь внутрь config.xml файл, есть <access origin="*" />элемент. Этот элемент разрешает все сетевые запросы к нашему приложению через перехватчики Cordova. Если вы хотите разрешить только определенные запросы, вы можете удалить его из config.xml и установить самостоятельно.
Используется тот же принцип, что и в предыдущих примерах.
<access origin = "http://example.com" />
Это разрешит все сетевые запросы от http://example.com.
Политика безопасности контента
Вы можете увидеть текущую политику безопасности для своего приложения внутри head элемент в index.html.
<meta http-equiv = "Content-Security-Policy" content = "default-src
'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src
'self' 'unsafe-inline'; media-src *">
Это конфигурация по умолчанию. Если вы хотите разрешить все из одного источника иexample.com, тогда вы можете использовать -
<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">
Вы также можете разрешить все, но ограничить CSS и JavaScript одним и тем же источником.
<meta http-equiv = "Content-Security-Policy" content = "default-src *;
style-src 'self' 'unsafe-inline'; script-src 'self'
'unsafe-inline' 'unsafe-eval'">
Поскольку это руководство для начинающих, мы рекомендуем параметры Cordova по умолчанию. Когда вы познакомитесь с Кордовой, вы сможете попробовать другие значения.