license: Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses this file to you under the Apache License, Version 2.0 (the “License”); you may not use this file except in compliance with the License. You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing,
software distributed under the License is distributed on an
"AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
KIND, either express or implied. See the License for the
specific language governing permissions and limitations
ホワイト リスト登録のドメインのアクセスを制御するセキュリティ モデルは、アプリケーションが制御なしの外部ドメインに。 コルドバは、外部サイトへのアクセスを定義する構成可能なセキュリティ ポリシーを提供します。 既定では、新しいアプリ任意のサイトへのアクセスを許可するように構成されています。 生産へアプリケーションを移動する前に、ホワイト リストを策定し、特定のネットワーク ドメインおよびサブドメインにアクセスできるようにする必要があります。
Android と iOS の (現在の 4.0 リリース) は、コルドバのセキュリティ ポリシーはプラグイン インター フェース経由で拡張可能です。 良いセキュリティとコルドバの以前のバージョンよりも構成を提供するので、アプリコルドバ プラグイン ホワイト リストを使用してください。 それはホワイト リスト プラグインを実装することが可能ですが、アプリは非常に特定のセキュリティ ポリシーの必要性を持っていない限りは推奨されません。 使用法と構成コルドバ プラグイン ホワイト リストの詳細を参照してください。
他のプラットフォーム用コルドバは特定のドメインへのネットワーク アクセスを有効にするアプリのconfig.xmlファイル内で<access>要素に依存しているW3C のウィジェットのアクセス仕様に準拠しています。 コマンド ライン インターフェイスで記述された CLI ワークフローに依存するプロジェクトのためこのファイルにあるプロジェクトの最上位ディレクトリ それ以外の場合、プラットフォーム固有の開発パス場所は以下のセクションに表示されます。 (各プラットフォーム上のさまざまなプラットフォームのガイドの詳細を参照)。
次の例では、 <access>ホワイト リストの構文。
Google.comへのアクセス:
<access origin="http://google.com" />
安全なgoogle.comへのアクセス ( https:// )。
<access origin="https://google.com" />
サブドメインmaps.google.comへのアクセス:
<access origin="http://maps.google.com" />
すべてのサブドメインにgoogle.com、たとえば接続とdocs.google.comへのアクセス:
<access origin="http://*.google.com" />
たとえば、 google.comおよびdeveloper.mozilla.orgのすべてのドメインへのアクセス:
<access origin="*" />
これは、新しく作成した CLI プロジェクトの既定値です。
Https プロトコルを使用してなどまたは国固有のドメインを別の url にいくつかのウェブサイトが自動的にリダイレクトをホームページからことを留意してください。 たとえば http://www.google.com https://www.google.com で SSL/TLS を使用するリダイレクトされ、さらに https://www.google.co.uk などの地理にリダイレクト可能性があります。 このようなシナリオは、初期の要件では、変更または追加のホワイト リストのエントリーを必要があります。 ホワイト リストを構築するいると、これをご検討ください。
メモ、ホワイト リストにメイン コルドバ webview にのみ適用されます InAppBrowser webview またはシステム web ブラウザーで開くリンクには適用されません。
プラットフォーム固有のホワイト リスト登録ルールの res/xml/config.xml で発見します。.
上記のように、コルドバ プラグイン ホワイト リストの詳細を参照してください。 コルドバ アンドロイド 4.0.0 の前に、このドキュメントの古いバージョンを参照してください。
上記のように、コルドバ プラグイン ホワイト リストの詳細を参照してください。 コルドバ ios 4.0.0 の前に、このドキュメントの古いバージョンを参照してください。
Www/config.xmlでホワイト リスト登録ルールの発見します。.
ブラックベリー 10年使用ワイルドカードの次の 2 つの方法で他のプラットフォームによって異なります。
XMLHttpRequestによってアクセスできるコンテンツを明示的に宣言する必要があります。 設定origin="*"この場合動作しません。 また、すべての web セキュリティできない可能性がありますブラックベリーの構成で説明されているWebSecurity設定を使用しています。
<preference name="websecurity" value="disable" />
設定*.domainに代わるものとして追加サブドメイン属性をtrueに設定します。 それはデフォルトでfalseに設定する必要があります。 たとえば、次のアクセス許可をgoogle.com、 maps.google.comとdocs.google.com:
<access origin="http://google.com" subdomains="true" />
Google.comへ次のナロウズ アクセス:
<access origin="http://google.com" subdomains="false" />
ローカルfile://プロトコルを含むすべてのドメインへのアクセスを指定します。
(サポートの詳細については、マニュアル参照してくださいブラックベリーのアクセス要素.)
Firefox の OS でない概念はホワイト リストの特定のドメインです。 代わりにSystemXHRと呼ばれる特別なアクセス許可です。 このアクセス許可をconfig.xmlに追加する必要があります。
<platform name="firefoxos">
<permission name="systemXHR" privileged="true" description="load data from server" />
</platform>
XMLHttpRequestオブジェクトは 2 つのパラメーター mozAnonとmozSystemでインスタンス化する必要があります。
var request = new XMLHttpRequest({
mozAnon: true,
mozSystem: true});
他のプラットフォーム用の違いはありませんので、このソリューションは透過的です。
Windows Phone 8 のホワイト リスト登録の規則は、アプリケーションのconfig.xmlファイルで発見されます。
ホワイト リスト登録の規則は、アプリケーションのconfig.xmlファイルで発見されます。 プラットフォームは、黒イチゴ ・ プラットホームと同じサブドメイン属性に依存します。 (サポートの詳細については、マニュアル参照してください Tizen のaccess の要素.)