【问题标题】:What are the reasons for cordova to serve app over https?科尔多瓦通过 https 服务应用程序的原因是什么?
【发布时间】:2021-11-21 19:37:30
【问题描述】:

不久前Cordova Android version 10 已经宣布。这个版本提供了通过https 协议在 webview 容器中提供应用程序的能力(而 file:// 是以前的默认值)。在这种特殊情况下,是否有充分的理由使用 https 而不是 httpfile 协议。我知道https 默认情况下是加密的,是网页/应用程序安全的基础。 但是如果 Cordova 在本地提供应用程序文件并且没有攻击者的入口点(我假设他不能滥用提供本地文件,因为他无法访问 webview 容器)是什么原因?

【问题讨论】:

    标签: cordova https


    【解决方案1】:

    原因是文件没有提供 CORS 要求的有效来源。据我了解,这仅在您使用需要它的 Angular 之类的框架时才有用。此外,iOS wkwebview 要求所有资源都有一个来源,除非您使用插件绕过它。所以我想,这也是 iOS 要求和一些框架的标准。

    【讨论】:

    • 现在不可能通过定义从哪里提供应用程序的自定义主机名来欺骗 CORS 策略来引用安全性的另一件事?如果我可以定义任何域,我可以将信任域伪装成任何其他服务/API。
    猜你喜欢
    • 2017-06-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多