# cordova-plugin-whitelist Este plugin implementa una política de lista blanca para navegar la aplicación webview en Cordova 4.0 ## Plataformas soportadas Cordova * Android 4.0 o superior * iOS 4.0.0 o superior ## Lista blanca de navegación Controla que las URLs del WebView se puede navegar a. Se aplica a nivel superior navegaciones solo. Peculiaridades: en Android también se aplica a iframes para esquemas que son de http (s). Por defecto, navegaciones solo a direcciones URL `file://` , son permitidas. Para permitir que otros otras URL, debe agregar `< allow-navegación >` etiquetas en el `archivo config.xml`: ## Intención de lista blanca Controla qué URLs de la aplicación se permite hacer el sistema para abrir. De forma predeterminada, se permiten ninguÌ n external URLs. En Android, esto equivale a enviar una intención de tipo BROWSEABLE. Esta lista blanca no se aplica a plugins, sólo los hipervínculos y las llamadas a `window.Open)`. En `config.xml`, agregar etiquetas `< allow-intent >` , como este: ## Solicitud de red blanca Controles que las peticiones de la red (imágenes, XHRs, etc.) se les permite hacer (a través de ganchos nativa de Córdoba). Nota: Le sugerimos que utilice una política de seguridad de contenido (véase abajo), que es más seguro. Esta lista blanca es sobre todo histórico para webviews que no admiten la CSP. En `config.xml`, agregue etiquetas de `< access >` , como este: Sin las etiquetas `< access >` , se admiten sólo las solicitudes a direcciones URL `file://` . Sin embargo, la aplicación por defecto de Cordova incluye `< access origin = "*" >` por defecto. Quirk: Android también permite las solicitudes de https://ssl.gstatic.com/accessibility/javascript/android/ por defecto, puesto que es necesario para TalkBack funcionar correctamente. ### Política de seguridad de contenido Controles que las peticiones de la red (imágenes, XHRs, etc.) se les permite hacer (vía webview directamente). En iOS y Android, la red solicitud lista blanca (véase arriba) no es capaz de filtrar todos los tipos de solicitudes (por ejemplo, `< video >` y WebSockets no estén bloqueadas). Así, además de la lista blanca, usted debe utilizar una etiqueta `< meta >` de [Contenido la política de seguridad](http://content-security-policy.com/) en todas las páginas. En Android, soporte para CSP en el sistema webview comienza con KitKat (pero está disponible en todas las versiones con WebView de paso de peatones). Aquí están algunas declaraciones de CSP de ejemplo para las páginas `.html` :