使用Nativescript编写的移动应用程序(使用跨平台Javascript运行时)是否与网站具有相同的XSS漏洞?
那么,在最严格意义上的XSS定义中,没有.但是一般的安全漏洞 - 我想这取决于你的应用程序的几个因素.从最严格的意义上说,正常的应用程序答案是否定的; 因为在正常的应用程序中,它不会被写入下载或运行任何外部或用户代码.因此,您不下载或运行任何外部代码; 消除了这种风险.
所以在正常的应用中; 没有.但是,如果你制作一些实际上允许第三人在你的应用程序中运行自己的JS的应用程序; 那么是的,通过运行任何JS,你就有机会破坏你的应用程序.但这确实不是XSS,它只是您创建的安全漏洞,因为您允许其他人在您的应用中运行代码.(这与任何环境相同,只要你允许某人在你的应用程序中运行代码;你就会为各种恶作剧敞开大门)
现在,如果这个"额外"代码可以从网站下载; 那么你可以得到一个类似XSS的问题,其中"BadGuy"在你的网站上发布一个JS文件,然后在颂扬他的脚本有多酷的优点时,"NaiveGuy"下载并运行它.Bam,NaiveGuy让你的手机被你网站上的脚本所破坏......但是你需要专门制作这种类型的系统才能让它发生; 这不是NativeScript内置的问题......
两个音符;
任何平台都可能遇到这个问题; NativeScript,React Native,Ionic,Cordova,WebSites,Node,Java,C等 - 您允许BadGuy在您的应用程序中运行代码; 安全明智的你陷入了深深的麻烦......
如果您在NativeScript App(或任何其他语言)中使用WebView组件,那么WebView组件本身可能会因为WebView是一个真正的Web浏览器组件而具有与NativeScript完全无关的XSS问题.它将完全与Chrome或Firefox在网站上所做的一样......但是,由于WebView与NativeScript隔离,因此网站引起的WebView中的任何XSS问题都与NativeScript中的问题无关...
| 归档时间: |
|
| 查看次数: |
176 次 |
| 最近记录: |