如何禁用PhoneGap API /function?
是否有推荐的方法来删除对不需要的PhoneGap API的访问权限?
例如,我们的应用程序不需要访问联系人数据库。
对于普通网页,XSS漏洞被沙箱化,仅影响一个站点(浏览器可防止任何传染到其他站点)。 使用PhoneGap应用程序时,默认情况下,XSS漏洞可以访问联系人列表或PhoneGap API的任何其他部分。
我想避免Skype的情况,即Skype中的XSS可用性允许攻击者复制其用户的地址簿: http : //www.macnn.com/articles/11/09/20/users.address.books.could .be.copied /
在您的应用程序中,在PhoneGap.plist / Plugins下,删除不需要的插件的所有行 – 这将删除JavaScript的访问权限。
PhoneGap是开源的。 您可以在禁用这些function的情况下制作自己的PhoneGap.js文件副本(将return false;作为函数的第一行或其他内容)。
在Android上你可以使用AndroidManifest.xml文件中的权限来做到这一点,但据我所知,iOS没有这样的function。