# cordova-plugin-whitelist Questo plugin attua una politica di whitelist per spostarsi all'interno dell'applicazione webview in Cordova 4.0 ## Piattaforme supportate Cordova * Android 4.0.0 o superiore * iOS 4.0.0 o superiore ## Navigazione Whitelist Controlla quali URL WebView stessa può essere esplorato. Si applica al solo primo livello navigazioni. Stranezze: su Android vale anche per gli iframe per non-schemi di http (s). Per impostazione predefinita, navigazioni solo agli URL `file://` , sono ammessi. Per consentire altri altri URL, è necessario aggiungere `` tag per il tuo `config. XML`: ## Whitelist intento Controlla quali URL app è consentito richiedere il sistema di apertura. Per impostazione predefinita, nessun esterno URL sono ammessi. Su Android, ciò equivale all'invio di un intento di tipo BROWSEABLE. Questa whitelist non si applica ai plugin, solo i collegamenti ipertestuali e chiamate a `Window`. In `config. XML`, aggiungere tag `` , simile al seguente: ## Rete richiesta Whitelist Controlli che le richieste di rete (immagini, XHRs, ecc.) sono consentiti (tramite ganci nativo di cordova). Nota: Si consiglia di che utilizzare un criterio di protezione contenuti (Vedi sotto), che è più sicuro. La whitelist è principalmente storico per visualizzazioni Web che non supportano la CSP. In `config. XML`, aggiungere tag `< access >` , simile al seguente: Senza qualsiasi tag `< access >` , sono consentite solo le richieste di URL `file://` . Tuttavia, l'applicazione di Cordova predefinito include `< access origin = "*" >` per impostazione predefinita. Stranezza: Android consente anche alle richieste di https://ssl.gstatic.com/accessibility/javascript/android/ per impostazione predefinita, poiché questa operazione è necessaria per TalkBack funzionare correttamente. ### Politica di sicurezza del contenuto Controlli che le richieste di rete (immagini, XHRs, ecc.) possono essere effettuate (via webview direttamente). Su Android e iOS, la rete richiesta whitelist (Vedi sopra) non è in grado di filtrare tutti i tipi di richieste (ad esempio non sono bloccate `< video >` & WebSockets). Così, oltre alla whitelist, è necessario utilizzare un tag `< meta >` [Content Security Policy](http://content-security-policy.com/) su tutte le pagine. Su Android, supporto per CSP all'interno webview sistema inizia con KitKat (ma è disponibile su tutte le versioni usando Crosswalk WebView). Ecco alcuni esempi di dichiarazioni di CSP per le pagine `HTML` :