鉴于可以插入和检查Cordova应用程序,应用程序本身就不如本机编译代码安全吗?或者,对于保留的内容和正常的UIWebView,是否也适用相同的规则?
答案 0 :(得分:5)
经过进一步研究: 在当前版本的Cordova中,使用分发许可证编译的应用程序可防止Web检查。
但是,您的IPA文件可以浏览,因此您的源代码不应包含任何敏感信息。不要将个人信息保存到应用程序的沙箱(文档://,localstorage,web目录),因为任何加密方法都很容易被发现和复制。将所有敏感信息保存到受密码保护的API。
您还可以使用自定义Cordova插件来获取/设置敏感信息。最好的情况是使用自定义插件从安全API服务器获取/设置信息(隐藏API参数)。
此外,将任何具有敏感值的HTML或JS视为有毒。尽快删除/删除它们(包括jquery缓存)。当应用程序移至后台时,特别努力从DOM中删除任何和所有敏感信息。
TLDR;专为生产而构建,应用程序的活动状态可视为RAM中的任何内容,但您必须将所有敏感信息保存在设备之外,或使用插件进行加密/解密。