你好,首先我很欣赏DCLOUD为开发者带来的产品,对此表示感谢。
日前在开发插件和查阅相关资料时发现对于iOS端来说 NativeObj的插件,可以使用类名方法名等通过iOS的Runtime进行对象创建和方法调用。
那么对于我们DCLOUD的使用者而言,相信有不少使用者需要使用DCLOUD的PDRCoreFrame(iOS)打开一个外部URL如,http://host.com/someproject/index.html
甚至作为一个浏览器潜入在自身的APP中,并且这个地址可以由用户指定一个外部地址。
假设出现情况
1.目标URL是一个恶意的网址
2.通过反编译获得APP,获得类名,方法名,
3.恶意用户编写html,通过使用NativeObj插件获取一些本不应该提供的数据后上传自身的服务器(如通讯录等隐私信息)。
4.调试后发布到服务器中,发放给目标用户运行。
到此甚至就形成了一个“病毒页面” ?
那么我的问题是:
那么这样的情况是否可能存在?谢谢。
若存在此问题,那么如果我从feature.plist中移除这个插件,是否会影响其他插件的运行?(直接删除feature.plist对应的NativeObj此行)
PS:查看了API文档以后,大致可以排除这个问题!谢谢。
2 个回复
全栈 - 90后全栈男
我也想借楼问个问题:
1)我今天去上班会不会去被车撞死?
有什么好办法不?
我不去上班算了?
我去上班但是我不走机动车道中心?
我去上班我走人行道走斑马线?
....
DCloud_heavensoft
加载远程网页时,可以设置那个webview是否允许使用plus api