Per*_*rry 2 security hipaa cordova
鉴于可以插入和检查Cordova应用程序,应用程序固有的本机编译代码安全性较低吗?或者对于保留的内容和正常的UIWebView,是否也适用相同的规则?
经过一些进一步的研究:在当前版本的Cordova中,使用分发许可证编译的应用程序可以防止Web检查.
但是,您的IPA文件可以浏览,因此您的源代码不应包含任何敏感信息.不要将个人信息保存到应用程序的沙箱(文档://,localstorage,web目录),因为任何加密方法都很容易被发现和复制.将所有敏感信息保存到受密码保护的API.
您还可以使用自定义Cordova插件来获取/设置敏感信息.最好的情况是使用自定义插件从安全API服务器获取/设置信息(隐藏API参数).
此外,将任何具有敏感值的HTML或JS视为有毒.尽快删除/删除它们(包括jquery缓存).当应用程序移至后台时,特别努力从DOM中删除任何和所有敏感信息.
TLDR; 专为生产而构建,应用程序的活动状态可视为RAM中的任何内容,但您必须将所有敏感信息保存在设备之外,或使用插件进行加密/解密.
| 归档时间: |
|
| 查看次数: |
586 次 |
| 最近记录: |