Oblivioned
Oblivioned
  • 发布:2019-10-11 10:38
  • 更新:2019-10-11 13:35
  • 阅读:53

【iOS】NativeObj 的引入是否大降低了框架的“安全级别”

分类:HTML5+

你好,首先我很欣赏DCLOUD为开发者带来的产品,对此表示感谢。

日前在开发插件和查阅相关资料时发现对于iOS端来说 NativeObj的插件,可以使用类名方法名等通过iOS的Runtime进行对象创建和方法调用。

那么对于我们DCLOUD的使用者而言,相信有不少使用者需要使用DCLOUD的PDRCoreFrame(iOS)打开一个外部URL如,http://host.com/someproject/index.html
甚至作为一个浏览器潜入在自身的APP中,并且这个地址可以由用户指定一个外部地址。

假设出现情况
1.目标URL是一个恶意的网址
2.通过反编译获得APP,获得类名,方法名,
3.恶意用户编写html,通过使用NativeObj插件获取一些本不应该提供的数据后上传自身的服务器(如通讯录等隐私信息)。
4.调试后发布到服务器中,发放给目标用户运行。

到此甚至就形成了一个“病毒页面” ?

那么我的问题是:
那么这样的情况是否可能存在?谢谢。

若存在此问题,那么如果我从feature.plist中移除这个插件,是否会影响其他插件的运行?(直接删除feature.plist对应的NativeObj此行)

PS:查看了API文档以后,大致可以排除这个问题!谢谢。

2019-10-11 10:38 分享
已邀请:
PHP全栈

PHP全栈 - 90后全栈男

我也想借楼问个问题:
1)我今天去上班会不会去被车撞死?
有什么好办法不?
我不去上班算了?
我去上班但是我不走机动车道中心?
我去上班我走人行道走斑马线?
....

DCloud_heavensoft

DCloud_heavensoft

加载远程网页时,可以设置那个webview是否允许使用plus api

要回复问题请先登录注册