Buduję aplikację hybrydową (HTML, CSS, JS + natywny kod iOS) i chcę nawiązywać połączenia z usługą sieciową, ale obecnie jest ona blokowana przez XSS Security.Czy można zezwolić na wykonywanie skryptów krzyżowych (XSS) w mobilnym safari?
Co muszę zrobić, aby wyłączyć tę funkcję zabezpieczeń (lub bardziej prawdopodobne zapewnić białej listy, która może się połączyć?)
Dzięki za pomoc!
Tak.
Możesz użyć Cross Origin Resource Sharing, iff, możesz mieć configure the server to support it, i to works on enough browsers dla twoich potrzeb.
nr
XSS nie można wyłączyć w dowolnej przeglądarce - inaczej hakerzy mogą łatwo ukraść wszystkie pieniądze z konta bankowego. Więc nie jest to ścieżka, którą możesz, powinna lub chcesz wziąć.
Zadaj kolejne pytanie, w którym opisujesz bardziej szczegółowo, co musisz osiągnąć i prawdopodobnie możemy Ci pomóc.
Ponieważ "przeglądarka" to program napisany (przy użyciu istniejących bibliotek) przez OP, tak nie jest w tym przypadku. – Quentin
O czym myślisz, że nazwałbyś "funkcją bezpieczeństwa XSS"? Wszystkie metody ataku XSS, o których wiem, obejmują sztuczki, które ** nie ** są blokowane przez nieodłączne zabezpieczenia przeglądarki, takie jak wykorzystywanie błędów w ucieczce danych HTML zapisanych na stronach. – Pointy
Witam Aaron - Dziękuję za odpowiedź, opracowanie: Aplikacja wykonuje połączenia z urządzeniem fizycznym, odbiera informacje z urządzenia i wyświetla informacje. Zbudowałem aplikację, używając ściśle natywnego kodu iOS i wykonałem połączenia za pośrednictwem żądań HTTP Post, ale klient chce zbudować aplikację, używając jak najmniejszego kodu natywnego (tak, aby była kompatybilna z platformami) ... Problem pojawia się, gdy macierzysty kod HTML/JS próbuje uzyskać dostęp do fizycznego urządzenia obsługującego dane, połączenie jest blokowane ... – Nathan
*: Dlaczego upadek? –
To nie jest XSS. XSS to miejsce, w którym znajduje się luka w zabezpieczeniach, która umożliwia osobie atakującej dodanie skryptu JavaScript do strony, aby działał, gdy użytkownik dotrze do Twojej witryny (zwykle za pośrednictwem linku od atakującego). – Quentin
Jakiego rodzaju "usługa sieci" mówisz? Czego dokładnie próbujesz i co dokładnie robi przeglądarka, aby pokrzyżować twoje wysiłki? "XSS" to strategia * ataku *, a nie funkcja bezpieczeństwa. – Pointy