Córdoba - Lista blanca

Este complemento nos permite implementar la política de lista blanca para la navegación de la aplicación. Cuando creamos un nuevo proyecto de Córdoba, elwhitelistEl complemento está instalado e implementado de forma predeterminada. Puedes abrir elconfig.xml archivo para ver allow-intent configuración predeterminada proporcionada por Cordova.

Lista blanca de navegación

En el ejemplo simple a continuación, permitimos enlaces a alguna URL externa. Este código se coloca enconfig.xml. Navegación afile:// Las URL están permitidas de forma predeterminada.

<allow-navigation href = "http://example.com/*" />

El signo de asterisco, *, se utiliza para permitir la navegación a varios valores. En el ejemplo anterior, permitimos la navegación a todos los subdominios delexample.com. Lo mismo se puede aplicar al protocolo o al prefijo del host.

<allow-navigation href = "*://*.example.com/*" />

Lista blanca de intenciones

También está el allow-intentelemento que se utiliza para especificar qué URL pueden abrir el sistema. Puedes ver en elconfig.xml que Córdoba ya permitió la mayoría de los enlaces necesarios para nosotros.

Lista blanca de solicitudes de red

Cuando miras dentro config.xml archivo, hay <access origin="*" />elemento. Este elemento permite todas las solicitudes de red a nuestra aplicación a través de los ganchos de Cordova. Si desea permitir solo solicitudes específicas, puede eliminarlo del config.xml y configurarlo usted mismo.

Se utiliza el mismo principio que en los ejemplos anteriores.

<access origin = "http://example.com" />

Esto permitirá todas las solicitudes de red de http://example.com.

Política de seguridad de contenido

Puede ver la política de seguridad actual de su aplicación dentro del head elemento en index.html.

<meta http-equiv = "Content-Security-Policy" content = "default-src 
   'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 
   'self' 'unsafe-inline'; media-src *">

Ésta es la configuración predeterminada. Si quieres permitir todo desde el mismo origen yexample.com, entonces puedes usar -

<meta http-equiv = "Content-Security-Policy" content = "default-src 'self' foo.com">

También puede permitir todo, pero restringir CSS y JavaScript al mismo origen.

<meta http-equiv = "Content-Security-Policy" content = "default-src *; 
   style-src 'self' 'unsafe-inline'; script-src 'self' 
   'unsafe-inline' 'unsafe-eval'">

Dado que este es un tutorial para principiantes, recomendamos las opciones predeterminadas de Cordova. Una vez que se familiarice con Cordova, puede probar algunos valores diferentes.