Как отключить API / функциональность PhoneGap?

Question

Есть ли рекомендуемый способ удалить доступ к ненужным API PhoneGap?

Например, нашему приложению не требуется доступ к базе данных контактов.

В обычных веб-страницах уязвимость XSS заключается в«песочница» влияет только на один сайт (браузер предотвращает заражение других сайтов).С приложением PhoneGap по умолчанию уязвимость XSS может получить доступ к списку контактов или к любой другой части API PhoneGap.

Я хочу избежать ситуации Skype, когда уязвимость XSS в Skype позволяла злоумышленнику скопироватьадресные книги своих пользователей: http://www.macnn.com/articles/11/09/20/users.address.books.could.be.copied/

Answer 1

В вашем приложении в PhoneGap.plist / Plugins удалите все ненужные строки для плагинов - это исключит доступ из JavaScript.

Answer 2

PhoneGap является открытым исходным кодом. Вы можете сделать свои собственные копии файлов PhoneGap.js с отключенными этими функциями (установите return false; в качестве первой строки функции или что-то в этом роде).

На Android вы можете сделать это с разрешениями в файле AndroidManifest.xml, но, насколько я знаю, такой функции нет для iOS.