ホワイト リスト ガイド
概要
リソースのホワイト リストを制御するセキュリティ モデルなど、外部ネットワーク リソースにアクセスが http://google.com
。 Apache コルドバの既定のセキュリティ ポリシーは、インターネット上の任意のサイト上の任意のリソースにアクセスできます。 運用環境にアプリケーションを移動する前にそのホワイト リストを確認し、特定のネットワーク ドメインおよびサブドメインへのアクセスを宣言する必要があります。
仕様
ドメイン ホワイトW3C ウィジェット アクセス仕様の土台となります。 ウィジェット アクセス仕様で、 <access>
要素を使用する特定のネットワーク リソースへのアクセスを宣言します。 Apache コルドバは個々 のネットワーク リソース (Url) のホワイト リスト登録を許可するようにこの概念を拡張します。 将来的には、Apache コルドバはプラットフォームのホワイト リストの実装を抽象化します。 しかし、今のところ各プラットフォーム独自のリソースまたはドメイン ホワイト リストを実装します。 プラットフォームの実装の違いは、このドキュメントに記載されています。
ホワイト リストのエントリーの一般的な形式の Google クロム パッケージ アプリ「パターン一致」仕様に従います。 リソースは、URL がアスタリスクによって指定されます (*) を示す任意の値が「行く」ここでいくつかの場所で「ワイルドカード」として文字を使用可能性があります。 具体的な例を紹介します。
構文
Google.comですべてのリソースへのアクセス:
http://google.com/*
安全なgoogle.comですべてのリソースへのアクセス ( https://
)。
https://google.com/*
特定のサブドメインmaps.google.comへのアクセス:
http://maps.google.com/*
Google.com (例えば、接続およびdocs.google.com) 上のすべてのサブドメインへのアクセス:
http://*.google.com/*
Www.google.com 「/モバイル」のパスの下にすべてのリソースへのアクセス:
http://www.google.com/mobile/*
任意のプロトコル (例えば、HTTP、HTTPS、FTP など) でgoogle.comへのアクセス:
*://google.com/*
(例えば、 google.comとdeveloper.mozilla.org) のインターネット上のすべての資源へのアクセス:
*
アンドロイド
詳細
ホワイト リスト登録の規則は、 res/xml/config.xml
要素で宣言されていると<access origin="..." />
.
Android は完全にホワイト リスト構文をサポートします。
構文
Google.comへのアクセス:
<access origin="http://google.com/*" />
ブラックベリー 10
詳細
ホワイト リスト登録の規則は、 www/config.xml
要素で宣言されていると<access origin="..." />
.
ブラックベリー 10 2 つの方法で他のプラットフォームとは異なるワイルドカードを処理します。
1) XMLHttpRequest によってアクセスされるコンテンツは、明示的に宣言されなければなりません。起源 ="*"このユースケースは尊敬できません。また、web のすべてのセキュリティが好みを使用して無効になります。
サブドメイン 2) ="true"の代わりに使用される可能性があります"* .domain"
構文
Google.comへのアクセス:
<access origin="http://google.com" subdomains="false" />
Maps.google.comへのアクセス:
<access origin="http://maps.google.com" subdomains="false" />
Google.comでのすべてのサブドメインへのアクセス:
<access origin="http://google.com" subdomains="true" />
含むすべてのドメインへのアクセスを file://
プロトコル。
<access origin="*" subdomains="true" />
すべての web セキュリティを無効にします。
<preference name="websecurity" value="disable" />
iOS
詳細
ホワイト リスト登録の規則は、 AppName/config.xml
要素で宣言されていると<access origin="..." />
.
iOS は完全にホワイト リスト構文をサポートします。
3.1.0 で変更されました。
前のバージョン 3.1.0、コルドバ iOS 他コルドバのプラットフォームでサポートされているドメイン whilelisting スキームをいくつかの非標準の拡張含まれています。 3.1.0、現在 iOS のホワイト リストは今このドキュメントの上部に記載されているリソースのホワイト リストの構文に準拠します。 変更する必要があります前 3.1.0 からアップグレードする場合にこれらの拡張機能を使用していた、 config.xml
として前にホワイト リスト登録リソースの同じセットを続行するためにファイル。
具体的には、これらのパターンを更新する必要があります。
"
apache.org
"(プロトコル): これは以前と一致http
、https
、ftp
、およびftps
プロトコル。 変更"*://apache.org/*
"に、すべてのプロトコルを含めたり、各プロトコルをサポートする必要がある行が含まれます。"
http://apache.*
"(ワイルドカード ドメインの終わりに): これは以前すべて上位-レベルの-ドメイン、すべての可能な 2 文字の Tld を含むと一致 (有用ではないドメインのようにしかし。 co.uk)。 行することが実際に制御、ホワイト リストに登録する必要がある各 TLD を含めます。"
h*t*://ap*he.o*g
"(行方不明のランダムな文字のワイルドカード文字): これらはサポートされていません; ドメインごとに行を含めるし、したプロトコルへの変更は、実際にホワイト リストする必要があります。
構文
Google.comへのアクセス:
<access origin="http://google.com/*" />
Windows Phone (7 & 8)
ホワイト リスト登録の規則は、 config.xml
要素で宣言されていると<access origin="..." />
.
構文
Google.comへのアクセス:
<access origin="http://google.com" />
Tizen
詳細
アプリケーションのルート ディレクトリの config.xml
ファイルを使用してドメイン ホワイト リスト登録のルールを指定します、 <access origin="..." />
の要素。 完全なリファレンスTizen 外部ネットワーク リソースへのアクセスのドキュメントを参照してください。.
構文
Google.comへのアクセス:
<access origin="http://google.com" subdomains="false" />
安全なgoogle.comへのアクセス ( https://
)。
<access origin="https://google.com" subdomains="false" />
Google.comでのすべてのサブドメインへのアクセス:
<access origin="http://google.com" subdomains="true" />
含むすべてのドメインへのアクセスを file://
プロトコル。
<access origin="*" subdomains="true" />