# cordova-plugin-whitelist Ce plugin met en œuvre une politique de liste blanche pour naviguer le webview application sur Cordova 4.0 ## Plates-formes prises en charge Cordova * 4.0.0 Android ou supérieur * iOS 4.0.0 ou supérieur ## Navigation liste blanche Contrôle quels URL le WebView lui-même peut être parcourus à. S'applique à des navigations niveau supérieur seulement. Particularités : sur Android il s'applique également aux iframes pour non-schémas http (s). Par défaut, navigations qu'aux URL `file://` , sont autorisés. Pour permettre aux autres d'autres URL, vous devez ajouter des balises `` à votre `fichier config.xml`: ## Intent Whitelist Contrôle quels URL l'app n'est autorisé à poser le système d'ouverture. Par défaut, aucun external URL est autorisés. Sur Android, cela équivaut à envoyer une intention de type BROWSEABLE. Cette autorisation ne s'applique pas aux plugins, uniquement les liens hypertexte et les appels à `window.open()`. Dans le `fichier config.xml`, ajouter des balises `` , comme ceci : ## Réseau demande liste blanche Les contrôles dont les demandes de réseau (images, XHRs, etc.) sont autorisés à effectuer (via cordova natif crochets). Remarque : Nous vous suggérons de qu'utiliser un contenu politique de sécurité (voir ci-dessous), qui est plus sûr. Cette liste blanche est surtout historique pour webviews qui ne prennent pas en charge les CSP. Dans le `fichier config.xml`, ajouter des balises `` , comme ceci : Sans les balises `` , seules les demandes d'URL `file://` sont autorisés. Toutefois, l'application de Cordoue par défaut inclut `` par défaut. Bizarrerie : Android permet également aux requêtes à https://ssl.gstatic.com/accessibility/javascript/android/ par défaut, puisque c'est nécessaire pour TalkBack fonctionner correctement. ### Politique de sécurité du contenu Les contrôles dont les demandes de réseau (images, XHRs, etc.) sont autorisés à effectuer (via webview directement). Sur Android et iOS, la réseau demande liste blanche (voir ci-dessus) n'est pas en mesure de filtrer tous les types de demandes (p. ex. `< video >` & WebSockets ne sont pas bloquées). Ainsi, en plus de la liste blanche, vous devez utiliser une balise `< meta >` de [Contenu politique de sécurité](http://content-security-policy.com/) sur toutes vos pages. Sur Android, support pour le CSP dans le système webview commence par KitKat (mais n'est disponible sur toutes les versions à l'aide du tableau de concordance WebView). Voici quelques exemples de déclarations de CSP pour vos pages `.html` :