Sto costruendo un'app ibrida (HTML, CSS, JS + codice nativo iOS) e desidero effettuare chiamate a un servizio Web, ma attualmente viene bloccato da XSS Security.È possibile abilitare Cross Site Scripting (XSS) in Safari mobile?
Che cosa devo fare per disattivare questa funzione di sicurezza (o più probabilmente fornire una lista bianca che è autorizzato a connettersi?)
Grazie per l'aiuto!
Sì.
È possibile utilizzare Cross Origin Resource Sharing, se si è autorizzati a configure the server to support it e works on enough browsers per le proprie esigenze.
No.
XSS non può essere disattivata in qualsiasi browser - altrimenti hacker potrebbe facilmente rubare tutti i soldi dal tuo conto bancario. Quindi questo non è un percorso che puoi, devi o vuoi prendere.
Fai un'altra domanda in cui descrivi più chiaramente ciò che devi raggiungere e probabilmente possiamo aiutarti.
Dato che il "browser" è un software scritto (anche se usando librerie preesistenti) dall'OP, non è questo il caso. – Quentin
Che cosa stai pensando di chiamare una "funzionalità di sicurezza XSS"? Tutti i metodi di attacco XSS che conosco implicano trucchi che non sono ** impediti da titoli intrinsechi del browser, come lo sfruttamento dei fallimenti di HTML per la fuga dei dati degli utenti scritti sulle pagine. – Pointy
Ciao Aaron- Grazie per la risposta, per elaborare: l'applicazione effettua chiamate a un dispositivo fisico, riceve informazioni dal dispositivo e visualizza le informazioni. Ho creato l'app utilizzando codice iOS nativo rigoroso e ho effettuato le chiamate tramite richieste HTTP Post, ma il client vuole creare l'app utilizzando il minor numero possibile di codice nativo (quindi è compatibile con più piattaforme) ... Il problema è quando il codice HTML/JS nativo tenta di accedere al dispositivo fisico che serve i dati, la chiamata è bloccata ... – Nathan
*: perché il downvote? –
Questo non è XSS. XSS è il punto in cui hai un buco di sicurezza che consente a un utente malintenzionato di aggiungere il proprio JavaScript alla tua pagina in modo che venga eseguito quando un visitatore arriva sul tuo sito (di solito tramite un link dall'attaccante). – Quentin
Che tipo di "servizio web" stai parlando? Che cosa stai provando esattamente e che cosa fa esattamente il browser per ostacolare i tuoi sforzi? "XSS" è una strategia * di attacco *, non di sicurezza. – Pointy