這個(gè)插件可以讓我們實(shí)現(xiàn)對(duì)應(yīng)用程序白名單導(dǎo)覽策略����。當(dāng)我們創(chuàng)建新的 Cordova 項(xiàng)目��,白名單插件默認(rèn)安裝并執(zhí)行���。您可以打開config.xml文件看看 Cordova提供 allow-intent 默認(rèn)設(shè)置����。
導(dǎo)航白名單
在簡(jiǎn)單的例子���,下面我們?cè)试S鏈接到一些外部URL。此代碼放置在 config.xml 中����。導(dǎo)航到 file:// URL 默認(rèn)是允許的��。
<allow-navigation />
星號(hào)符號(hào)�����,*�,用于允許導(dǎo)覽到多個(gè)值���。 在上面的例子中���,我們?cè)试S導(dǎo)覽到 example.com 所有子域。同樣可以應(yīng)用到協(xié)議或前綴到主機(jī)����。
<allow-navigation href = "*://*.example.com/*" />
意圖白名單
還有它用allow-intent 元素來指定哪些網(wǎng)址系統(tǒng)可以打開 ?�?梢栽赾onfig.xml中看到 Cordova 已經(jīng)允許對(duì)我們來說需要的一些鏈接���。
網(wǎng)絡(luò)請(qǐng)求白名單
當(dāng)看到config.xml文件里面�,有 <access origin="*" />元素�。這個(gè)元素允許應(yīng)用程序通過 Cordova 鉤子所有的網(wǎng)絡(luò)請(qǐng)求��。 如果你想只允許特定的請(qǐng)求����,可以從 config.xml 中刪除�,并自行設(shè)置。
如前面實(shí)例相同的原理����。
<access origin = "http://example.com" />
這將允許來自所有網(wǎng)絡(luò)請(qǐng)求 http://example.com.
內(nèi)容安全策略
可以看到當(dāng)前的安全策略在應(yīng)用程序的 index.htmll 中頭元素中。
<meta http-equiv = "Content-Security-Policy" content = "default-src
'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src
'self' 'unsafe-inline'; media-src *">
這是默認(rèn)配置��。如果你想允許一切從同一來源和 example.com 可以使用 ?
<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">
還可以允許的一切�����,但限制CSS和JavaScript相同的源��。
<meta http-equiv = "Content-Security-Policy" content = "default-src *;
style-src 'self' 'unsafe-inline'; script-src 'self'
'unsafe-inline' 'unsafe-eval'">
由于這是初學(xué)者教程中�,我們推薦的默認(rèn)Cordova 選項(xiàng)。當(dāng)熟悉了Cordova ��,你可以嘗試設(shè)置一些不同的值���。
