Cordova 应用内浏览器 应用传输安全

Question

我正在尝试从本地服务器（使用 httpd 插件）在 In App Browser 中加载内容。网页来自 https，而本地服务器正在加载当然是 http。

我正在 Iphone x IOS 12 上进行测试。使用 adobe Build

试过了：

<access origin='*' allows-arbitrary-loads-in-media='true' allows-arbitrary-loads-in-web-content='true' allows-local-networking='true' />

<edit-config target="NSAllowsArbitraryLoads" file="*-Info.plist" mode="merge">

<true />

</edit-config>

<plugin name="cordova-plugin-transport-security" source="npm" />

错误：

[blocked] The page at https://somewebpage was not allowed to run insecure content from http://127.0.0.1:8080/javascripts/somejsfile.js.

这些都不起作用。有人有什么建议吗？

Answer 1

另一个不改变浏览器安全设置的android解决方案是使用"https://cdvfile/assets/www/cordova.js"而不是"cdvfile://localhost/assets/www/cordova.js"，并将以下行添加到FileUtils.java中的remapUri方法中（在cordova中文件插件）：

uri = Uri.parse(uri.toString().replace("https://cdvfile/", "cdvfile://localhost/"));

这将照常加载文件，不会导致 webview 阻止请求。

见公关https://github.com/apache/cordova-plugin-file/pull/322

Answer 2

这不是应用传输安全问题，而是违反混合内容政策。 解决方案：

对于 android：通过将以下代码放入您的 cordova 插件的 pluginInitialize 方法来禁用混合内容策略：

if (android.os.Build.VERSION.SDK_INT >= android.os.Build.VERSION_CODES.LOLLIPOP) {
            final WebSettings settings = ((WebView)this.webView.getView()).getSettings();
      settings.setMixedContentMode(WebSettings.MIXED_CONTENT_ALWAYS_ALLOW);
        } 

https://developer.android.com/reference/android/webkit/WebSettings.html#MIXED_CONTENT_ALWAYS_ALLOW)

然后使用以下方法包含本地cordova.js：

<script src="cdvfile://localhost/assets/www/cordova.js"></script>

对于 ios：我提交了一个解决 ios 上混合内容问题的文件插件的 PR：apache/cordova-plugin-file#296 修复版本在：https://github.com/guylando/cordova-plugin-file 如果你加载远程站点 @987654323 @ 在 webview 上然后它允许使用 url 访问本地文件：https://example.com/cdvfile/bundle/www/cordova.js 而不是 cdvfile://localhost/bundle/www/cordova.js 从而解决了混合内容问题

使用以下方法包含本地cordova.js：

<script src="/cdvfile/bundle/www/cordova.js"></script>