openWin问题

keheng18

最近在测试的时候发现一个问题，感觉就是个漏洞

我的APP在某些地方是需要用户填写一个网址，这个网址在会在前面用openWin打开这个地址,也方便用户使用closeWin后退功能

但是如果用户上传的这个网址里面包含了api对象中的方法，那不是可以随便控制这个app了？

有没有办法可以不让其它的链接地址使用api对象或其它的解决方案

得呤

你怎么调用网页api方法的

keheng18

直接用api.openWin({
name:'NewUrl',
url:'html/openUrl.html',
param:{url:'http://www**.**'}
});

openUrl.html中有个页面标题和一个closeWin()
下面直接用openFrame直接打开url

该URL里面如果apiready = function(){alert('test');}   一样会生效

gigie

会生效，这个属于正常。

keheng18

如果app上线后给人恶意来使用这些api,会造成安全问题，除可以用这个外，读取用户信息，缓存信息都 可以的，我觉得这是个很大的安全隐患，希望你们能够重视！

keheng18

解决方法可以在openWin和openFrame方法中加个参数控制能不能让这个页面使用api函数或不执行里面的api函数