Apache Cordova For Android安全限制绕过漏洞(CVE-2014-3501)

xuejiazhi

2014-08-06

发布日期：2014-08-04
更新日期：2014-08-06

受影响系统：
Apache Group Cordova < 3.5.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69041
CVE(CAN) ID: CVE-2014-3501

Apache Cordova是用HTML、CSS、JavaScript构建本地移动应用程序的平台。

Apache Cordova for Android 3.5.0及其他版本构建的Android应用使用WebView组件显示内容。Cordova应用可指定允许显示或通过XMLHttpRequest通信的URL白名单，但如果JavaScript使其通过非HTTP渠道通信，则WebView组件就无法使用该白名单。如果攻击者可以在应用内执行任意JavaScript，则可向任何服务器开放连接，绕过HTTP白名单。

<*来源：David Kaplan
Roee Hay

链接：http://cordova.apache.org/announcements/2014/08/04/android-351.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cordova.apache.org/
http://cordova.apache.org/announcements/2014/08/04/android-351.html

xuejiazhi

0 关注 0 粉丝 0 动态

相关推荐

【移动端】ionic cordova 打包debug调试版、release发布版

打包release发布版在工程目录下执行cordova build android --release，生成的apk就是release发布版本。app-release-unsigned.apk 就是没有签名的apk ，没有配置签名文件则默认生成。如果打包的

绿豆饼 2020-07-28

【移动端】用Cordova将vue项目打包成app

最近项目用hbuilderx打包web项目为app，发现经常有闪退的问题，尝试改用其他工具打包，以下是实验步骤。下载Android Studio，File=>Settings=>Android SDK，勾选右下角Show Package Det

malonely 2020-07-20

cordova 扫码报错：scan is already in progress

　　公司APP使用cordova框架进行开发，在一些功能升级后，扫码突然报错：scan is already in progress。应该是本次系统升级造成的，极有可能是同时调用多次才会有这样的提示。　　研究一翻终于找到了症结所在，原来是动态生成这个bu

liujia 2020-06-02

IOS Cordova嵌套Cocos Creator的坑

最近在看如何把H5游戏嵌套发布在app上，于是用Cordova作为工具。然而之前Cordova在IOS上是用UIWebview，但是IOS新版本上强制要用wkwebview。还好新版Cordova也支持了，但是遇到了一个坑，加载不了：。因为Cordova必

chenxiangpeng 2020-04-30

ionic app 热更新

之前用ionic做了项目，学会了安卓打包，最近要做热更新，本来以为效果没出来，结果发现是我用的内网，哈哈哈哈，来来来，赶紧进入正题，把我的步骤分享给大家！！！！Please provide: Enter full URL to directory wher

kfq00 2020-04-10

查找cordova插件name

在plugin目录里面找到 plugin.xml 文件，找到target标签，这个就是在js中调用的name. <js-module src="www/Camera.js" name="camera">　

malonely 2020-01-19

Cordova的环境配置

西瓜君目前公司的App项目是采用用H5来写，再使用Cordova来打包；之前我有完整的配置了cordova的环境，但是因为一些原因重装了系统，现在需要重新装环境，那就让我们再一起学习一下cordova环境的配置吧~~Cordova命令行工具作为npm包分发

liujia 2019-12-27

cordova+vue混合式开发App

应要求第一次使用cordova打包了一下vue写的app项目，期间遇到了不少问题，整理一下流程并记录一下常见问题吧。cordova打包项目需要的环境配置啥的就不具体讲啦，百度一下很多教程~第一个hello是cordova自动生成的项目文件夹名称第二个com

chunianyo 2019-12-14

ionic-环境搭建-入门

正常创建一个简单项目blank，在手机上调试，启动后项目一直白屏，修改项目src下index.html

zhaoyongfengz 2019-12-10

用cordova生成android应用

生成android应用需要3个工具,cordova,yeoman,angularjs generator. 创建一个工程,以demo命名,id为com.company.demo,生成应用名为DemoApp. 在这里我碰到一个严重的问题,就是安装完成后应用没

kfq00 2014-06-30

Chapter 1: PhoneGap and Enterprise Mobility

The enterprise has always focused on providing solutions that enable its users to access important data. PhoneGap/Cordova is a f

朱莉的乔夫 2015-03-26

phonegap环境搭建

纠结了一天，才找到合适的版本~~终于运行起来了！cordova create hello com.example.hello "HelloWorld" cd hellocordova platform add androidcordov

kehongyong 2015-05-12

IOS -> Cordova 将 view 下移避免和状态栏重叠

// View defaults to full size. If you want to customize the view's size, or its subviews ,

Go贝壳 2015-06-14

IOS -> Cordova 建立第一个应用

1 , 下载并安装http://nodejs.org/. 3 , 在终端命令安装 cordava. 5 , 进入刚才的pro 目录，并添加 IOS 支持。7，通过 XCODE 打开刚才新建的工程的 xcodeproj 文件

莫封洛 2015-06-13

Ionic 项目创建

baidu 搜索：Android SDK Tools，下载并安装，安装完成后，在程序菜单中找到"SDK Manager" 启动下载 android sdk.在Path环境变量中添加：%ANDROID_HOME%\platform-too

shichong 2015-05-14

Use Cordova to push notification to gcm

9. copy javascrip code from pushplugin in folder example to demo ,and edit it.

MonkeyKingBi 2015-10-30

cordova开发中，android端利用百度sdk定位

近期的一个phonegap项目把我做的焦头烂额，最让人蛋疼的就是安卓4.1.x对html5的定位获取经纬度有个无比巨大的坑，一般我们利用如下代码进行html5的定位。另外一个巨坑也直接影响了我对这个问题的判断，如果我重启了安卓4.1的机器，那么上述代码将能

百度通告 2015-12-26

Cordova开发app——Websocket掉线问题

安卓手机手机退到桌面或者锁屏后不知道个多少间就会掉线。当立进入app后就会发现消息收不到、消息接收不到。因为websocket在连接不上服务器或者断开连接后，会执行一个「onclose」的方法，所以我们在这里面进行了重连的操作。此方案已经使用在我们的测试a

welldum 2019-09-07

使用Cordova将您的前端JavaScript应用打包成手机原生应用

假设我用JavaScript和HTML开发了一个前端应用，我想把该应用打包成能直接在手机上安装和运行的原生应用，例如像下面这样。对应用的用户来说，他们得到的用户体验和真正的用Android Studio或者XCode开发的原生应用完全一致。这是怎么做到的？

inyiyi 2018-09-05

HTML5应用 + Cordova = 平台相关的混合应用

Jerry之前的一篇文章 SAP Fiori应用的三种部署方式曾经提到SAP Fiori应用的三种部署方式：。今天这篇文章我们就来专门聊聊第三种方式，也就是SAP移动应用的解决方案之一: 使用Cordova将前端应用打包成一个和移动平台相关的混合移动应用

Matrox 2018-09-21

xuejiazhi

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号