注册 登录
码农TT
码农TT
  • 发布:2019-06-25 17:19
  • 更新:2020-01-14 11:40
  • 阅读:684

【报Bug】html5+ 的api的安全隐患

分类:HTML5+

详细问题描述

plus.storage数据是可以跨域访问的
怎样彻底阻止plus.storage被其它网页访问操作

在打开页面时加入 plusrequire:"none" 对一般的页面确实有效,
但是如果那个页面加入了<script src="html5plus://ready"></script>,数据仍然会被访问到

2019-06-25 17:19 负责人:无 分享

没有找到相关结果

    已邀请:
    DCloud_App_Array

    DCloud_App_Array

    HBuilderX2.5.6+版本Webview窗口样式新增disablePlus属性(Boolean类型)禁止使用5+ API,示例如下:

    var webview = plus.webview.create('url', 'id', {  
    disablePlus: true,  
    plusrequire: 'none'  
});

    这样设置后webviwe窗口将无法调用任何5+ API,即使页面中加载了框架也无法调用,可解决外部网页恶意调用plus的隐患。

    2020-01-14 11:40 分享

    • 码农TT (作者)

      这个问题能不能解决一下https://ask.dcloud.net.cn/question/87616

      2020-01-14 11:44

    评论 取消
    为什么被折叠? 0 个回复被折叠

    该问题目前已经被锁定, 无法添加新回复

    退出全屏模式 全屏模式 回复
    友情链接
    优势智云 黑马程序员 程序员客栈 个推 锐亚教育 即速应用 DCloud新闻 InfoQ 蓝莺IM HeapDump性能社区 diygw可视化 申请友链

    DCloud 即数字天堂(北京)网络技术有限公司是W3C成员及HTML5中国产业联盟发起单位

    京ICP备12046007号-4 | 京公网安备:11010802035340号 | 国家信息安全等级保护三级,证书编号:11010813802-20001

    | | 违法违规信息举报