search

ホワイトリストへの登録 プラグイン ( Android 専用 )

テスト環境 ( バージョン番号 ) : 1.3.1arrow-up-right

circle-info

このプラグインの詳細は、 こちらの原文 ( GitHub )arrow-up-right をご確認ください。

このプラグインを使用して、WebView ( Cordova 4.0 以降 ) 上のページ遷移に対して、ホワイトリスト ポリシー ( アクセスできる URL の指定など ) を適用します。

hashtag
プラグイン ID

cordova-plugin-whitelist

hashtag
サポート対象のプラットフォーム

  • Android 4.0 以上

hashtag
プラグインの追加方法 ( Monaca 上での処理 )

circle-info

Whitelist プラグインは、Cordova 5.2 から、Monaca アプリに自動で組み込まれます。削除はできません。

hashtag
ページ遷移時に適用される設定

WebView 上で使用できる URL を制御します。適用範囲は、最上位のページ遷移 ( top-level navigation ) のみです。

Android では、http(s) スキーマを使用していない iframe にも適用されます。

デフォルトでは、file:// 形式の URL のみ使用できます。他の URL を使用する場合、たとえば、次のように <allow-navigation> を指定して、config.xml に追加します。

    <!-- Allow links to example.com -->
    <allow-navigation href="http://example.com/*" />

    <!-- Wildcards are allowed for the protocol, as a prefix
         to the host, or as a suffix to the path -->
    <allow-navigation href="*://*.example.com/*" />

    <!-- A wildcard can be used to whitelist the entire network,
         over HTTP and HTTPS.
         *NOT RECOMMENDED* -->
    <allow-navigation href="*" />

    <!-- The above is equivalent to these three declarations -->
    <allow-navigation href="http://*/*" />
    <allow-navigation href="https://*/*" />
    <allow-navigation href="data:*" />

hashtag
外部アプリの呼び出し時に適用される設定

アプリ側からシステム側に対して、外部への URL を開くようにリスクエストすることができます。デフォルトでは、外部への URL は一切開くことができません。.

Android における、「 BROWSABLE 」 設定に相当します。

この設定は、プラグインではなく、window.open() の呼び出し時とハイパーリンクだけに適用されます。

次のように、 config.xml ファイルに <allow-intent> タグを追加します。

コンテンツのリクエスト時に適用される設定 ( ネットワーク )

hashtag
リクエスト用のホワイトリストの設定 )

ネットワーク リクエスト ( 画像、XHR など ) に関して、どのリクエストを許可するか制御できます。

circle-info

セキュリティー強化の点から、 コンテンツ セキュリティー ポリシー も使用することを推奨しています。こちらのホワイトリスト設定は、CSP をサポートしていない WebView 向けです。

次のように、 config.xml ファイルに <access> タグを追加します。

<access> タグを設定しない場合、 file:// 形式のURLへのリクエストのみ許可されます。デフォルトでは、 <access origin="*"> と設定されています。

注:ホワイトリストは、ホワイトリストに登録されたリモートウェブサイト(httpまたはhttps)からホワイトリストに登録されていないウェブサイトへのネットワークリダイレクトをブロックできません。 CSPルールを使用して、CSPをサポートするWebビューのホワイトリストに登録されていないWebサイトへのリダイレクトを緩和します。

Android では、TalkBack を正常に動作させるため、https://ssl.gstatic.com/accessibility/javascript/android/ へのリクエストがデフォルトで有効になっています。

hashtag
コンテンツ セキュリティー ポリシー

ネットワーク リクエスト ( 画像、XHR など ) に関して、どのリクエストを許可するか制御できます。

ネットワーク リクエスト用のホワイトリスト ( 上記を参照 ) では、リクエストの種類に応じたフィルターを行っていません ( たとえば、<video> と WebSocket はブロックされません ) 。よって、上記のホワイトリストに加えて、Content Security Policyarrow-up-right<meta> タグを、すべてのページに設定することを推奨します。

なお、System WebView における CSP のサポートは、KitKat から始りました ( Crosswalk WebView では、すべてのバージョンで利用できます )。

CSP 宣言の例を、次に記します ( .html ページに記述 )。

関連項目:

前へステータスバーの制御 プラグイン次へサードパーティー製プラグイン

最終更新