Каковы последствия отключения websecurity в приложении blackberry10?


В другом вопросе, касающемся ошибки в blackberry10, которая отрицает перекрестные исходные вызовы XHR, предлагается обойти эту проблему, отключив веб-безопасность.

Но что на самом деле означает отключение веб-безопасности? Буду ли я мучить маленьких безобидных лесных созданий, если использую это?

Серьезно, однако, делает ли это подвергает мое приложение дополнительным рискам безопасности, помимо тех, которые были введены при добавлении популярного подстановочного знака access uri="*" или access origin="*" строки в моей конфигурации.XML для blackberry10?

Пожалуйста, совет

1 2

1 ответ:

Но что на самом деле означает отключение веб-безопасности? Буду ли я мучить маленьких безобидных лесных созданий, если использую это?

Нет.

Это означает, что ваше приложение может получить доступ к любому ресурсу в Интернете, хорошему, плохому или уродливому, если (и только если) пользователь может перемещаться / получать доступ к этому ресурсу.

При отключении веб-безопасности может произойти следующее:

Если вы опубликовали ссылку в своем приложении на удаленную страницу, которую вы делаете не контролируя, вы рискуете, что страница может отображать неожиданное / вредоносное / неподходящее содержимое или позволить пользователю перейти на другую страницу, которая может. Пример: Предположим, вы отображаете контент в своем приложении, загруженный непосредственно с какого-то удаленного URL-адреса. Вы точно знаете, какой тип контента ваши пользователи могут "увидеть" в вашем приложении? Если бы этот удаленный URL загружал "купите эти таблетки сейчас, чтобы получить огромные" рекламные объявления с другого URL, вы были бы в порядке с вашими пользователями, видящими этот контент в вашем приложение?

Большинство разработчиков будут включать в свое приложение только контент, которому они "доверяют", и белый список только конкретных URL-адресов, которые им нужны. Однако иногда вам действительно нужно разблокировать входную дверь, если вы не знаете, какой URL-адрес ваши пользователи хотят получить.

Таким образом, отключение веб-безопасности доступно, если вам это действительно нужно, но не рекомендуется. Используйте его на свой страх и риск, а не для удобства.