Insecure whitelist configuration

不安全的白名单配置

Risk: hardening

描述

应用程序的白名单允许不受限制地访问所有资源 *。

建议

Cordova 提供了一个强大的安全模型，为开发人员提供了防止未经授权的访问和 Cross-Site Scripting 漏洞的工具。

Cordova 白名单管理网络安全访问，且必须仅明确授权可访问的资源。

要启用 Cordova 白名单，请按照以下步骤操作：

1. 安装 Cordova Whitelist 插件： 如果尚未安装，您需要安装 Cordova Whitelist 插件。您可以通过在项目目录中运行以下命令来完成此操作：

cordova plugin add cordova-plugin-whitelist

1. 配置白名单： 安装插件后，您可以在 config.xml 文件中配置白名单。通过添加 <allow-navigation> 和 <allow-intent> 标签，您可以指定允许您的应用程序访问哪些外部资源。

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

<!-- Allow access to all URLs -->
<allow-navigation href="*" />

<!-- Allow opening specific URLs in the system browser -->
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />

链接

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

标准

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_1
  • MASVS_RESILIENCE_2
  • MASVS_RESILIENCE_3
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5