我正在查看cordova-hot-code-push cordova插件。我想在自己的服务器上托管我的版本。有没有办法使用一些安全性来确保不仅任何人都可以从托管位置下载文件并仍然与插件一起工作?
答案 0 :(得分:1)
手动调用fetchUpdate()方法时,可以使用Authentication Headers。
var options = {
'config-file': 'https://example.com/chcp.json',
'request-headers': {
'Authorization': 'Basic ' + (new Buffer("username:password").toString('base64'))
}
};
chcp.fetchUpdate(updateCallback, options);
function updateCallback(error, data) {
// do some work
}
检查应用程序代码的任何人都不是最安全的方法,可以下载您的代码。
但我个人更关心的是有人“虚假更新”你的应用程序的能力,因为中间人可以完全劫持你的应用程序。
!! - >所以肯定使用HTTPS。
这也无法完全阻止MITM。
参考文献阅读:
https://github.com/nordnet/cordova-hot-code-push/wiki/Fetch-update