Cordova - Danh sách trắng
Plugin này cho phép chúng tôi triển khai chính sách danh sách trắng để điều hướng ứng dụng. Khi chúng tôi tạo một dự án Cordova mới,whitelistplugin được cài đặt và triển khai theo mặc định. Bạn có thể mởconfig.xml tập tin để xem allow-intent cài đặt mặc định do Cordova cung cấp.
Danh sách trắng điều hướng
Trong ví dụ đơn giản bên dưới, chúng tôi đang cho phép các liên kết đến một số URL bên ngoài. Mã này được đặt trongconfig.xml. Điều hướng đếnfile:// URL được cho phép theo mặc định.
<allow-navigation href = "http://example.com/*" />
Dấu asterix, *, được sử dụng để cho phép điều hướng đến nhiều giá trị. Trong ví dụ trên, chúng tôi đang cho phép điều hướng đến tất cả các miền phụ củaexample.com. Điều tương tự có thể được áp dụng cho giao thức hoặc tiền tố cho máy chủ.
<allow-navigation href = "*://*.example.com/*" />
Danh sách trắng mục đích
Ngoài ra còn có allow-intentphần tử được sử dụng để chỉ định URL nào được phép mở hệ thống. Bạn có thể thấy trongconfig.xml rằng Cordova đã cho phép hầu hết các liên kết cần thiết cho chúng tôi.
Danh sách trắng yêu cầu mạng
Khi bạn nhìn vào bên trong config.xml tập tin, có <access origin="*" />thành phần. Phần tử này cho phép tất cả các yêu cầu mạng tới ứng dụng của chúng tôi thông qua móc Cordova. Nếu bạn chỉ muốn cho phép các yêu cầu cụ thể, bạn có thể xóa nó khỏi config.xml và tự đặt nó.
Nguyên tắc tương tự được sử dụng như trong các ví dụ trước.
<access origin = "http://example.com" />
Điều này sẽ cho phép tất cả các yêu cầu mạng từ http://example.com.
Chính sách bảo mật nội dung
Bạn có thể thấy chính sách bảo mật hiện tại cho ứng dụng của mình trong head yếu tố trong index.html.
<meta http-equiv = "Content-Security-Policy" content = "default-src
'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src
'self' 'unsafe-inline'; media-src *">
Đây là cấu hình mặc định. Nếu bạn muốn cho phép mọi thứ từ cùng một nguồn gốc vàexample.com, sau đó bạn có thể sử dụng -
<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">
Bạn cũng có thể cho phép mọi thứ, nhưng hạn chế CSS và JavaScript ở cùng một nguồn gốc.
<meta http-equiv = "Content-Security-Policy" content = "default-src *;
style-src 'self' 'unsafe-inline'; script-src 'self'
'unsafe-inline' 'unsafe-eval'">
Vì đây là hướng dẫn dành cho người mới bắt đầu, chúng tôi đề xuất các tùy chọn Cordova mặc định. Khi bạn đã quen với Cordova, bạn có thể thử một số giá trị khác nhau.