Apache Cordova安全漏洞

Question

我最近上传了一个安卓应用程序到Google，我有一个众所周知的安全漏洞警告Apache Cordova安全漏洞。我有点困惑，因为我使用的是Cordova CLI 6.0.0和Cordova Android 5.1.1。我做错什么了？

项目信息：

>cordova platform ls
Installed platforms: android 5.1.1
Available platforms: amazon-fireos, blackberry10, browser, firefoxos, webos, windows, windows8, wp8

>cordova --version
6.0.0

>cordova plugin ls
cordova-plugin-device 1.1.2-dev "Device"
cordova-plugin-dialogs 1.2.1-dev "Notification"
cordova-plugin-file 4.1.2-dev "File"
cordova-plugin-file-transfer 1.5.1-dev "File Transfer"
cordova-plugin-geolocation 2.1.1-dev "Geolocation"
cordova-plugin-globalization 1.0.3-dev "Globalization"
cordova-plugin-inappbrowser 1.3.1-dev "InAppBrowser"
cordova-plugin-network-information 1.2.1-dev "Network Information"
cordova-plugin-splashscreen 3.2.1-dev "Splashscreen"
cordova-plugin-whitelist 1.2.2-dev "Whitelist"

我尝试在config.xml中添加/删除下一行

<plugin name="cordova-plugin-whitelist" spec="1" />
<access origin="*" />
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />
<allow-intent href="tel:*" />
<allow-intent href="sms:*" />
<allow-intent href="mailto:*" />
<allow-intent href="geo:*" />
<platform name="android">
    <allow-intent href="market:*" />
</platform>

我还尝试在index.html中添加和删除下一行

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

这是我从谷歌游戏团队收到的电子邮件：

你好Google Play Developer 我们拒绝了XXXXXX包ID XXXXXXX，因为它违反了我们的恶意行为策略。如果您提交了更新，您的应用程序的前一个版本仍然可以在Google上使用。 这个应用程序使用的软件包含了用户的安全漏洞。 下面是您最近提交的文件中检测到的漏洞列表和相应的APK版本。请尽快升级您的应用程序，并增加升级APK的版本号。 漏洞APK版本Apache修复了Apache v.3.5.1中的漏洞。 您可以在这个谷歌帮助中心文章中找到更多信息和下一步。

Answer 1

正如@jcesarmobile所言，cordova项目中有几个cordova.js文件。我不仅必须更新www文件夹中的主cordova.js文件，而且还必须在其他文件夹中手动更新该文件(例如/platform/android/assets/www)；然后，我能够在Google中上传一个没有安全警告的新版本。

Answer 2

这是一个长期的尝试--虽然谷歌并没有明确提到，尽管他们正在寻找XSS的曝光--但是你是否在你的index.html中添加了一个“不安全的内联”来允许内联脚本被包括在内呢？