Phonegap /科尔多瓦Whietlist逻辑

Question

Cordova文档here非常清楚地解释了Navigation和Intent白名单的用途。我不那么清楚的是为什么他们是必要的。出现在由混合应用程序创建的webview中的可点击链接由该应用程序“拥有”，因此它首先了解所有关于它们的信息？那么它就不会去提供不应该被用户点击的链接。

显然，我的推理存在缺陷，或者这些白名单规格选项不存在。我非常感谢所有可能解释这些白名单背后的“意图”的人。

Answer 1

正如@jcesarmobile在他的评论中所说的，当然取决于你的应用程序，黑客可以欺骗你的应用程序或用户在应用程序中插入一些东西，这些东西可以链接到网络上可能含有恶意代码的源。由于他们知道你在科尔多瓦环境中运行，他们不仅可以访问标准的Web JavaScript控件，而且可以运行任何插件，并可以执行任何可以执行的操作（拨打电话，请求用户联系人等） 。如果您的应用程序显示任何类型的输入是从外部采购的，而您并没有直接控制，并且在输出之前错过了任何清理工作，那么您很容易受到XSS注入攻击，因此白名单可以减少可用表示XSS注入（即他们无法从另一台机器加载脚本）。