手游,手机网游,免费下载,网游礼包,游戏资讯,英雄攻略,评测。

缘邦游戏网_英雄攻略,招式、技能技巧,手机游戏-缘邦游戏网

当前位置: 缘邦游戏网 > 热门 >

怎么解决移动和Descktop客户端无法连接到Sandstor

时间:2020-01-20 20:32来源:未知 作者:admin 点击:
从理论上讲,您的 API可以提供常规的网络内容。 不过,有一些怪癖。 出于安全原因,Sandstorm通常不希望应用程序以固定的URL托管Web内容:我们的沙箱以及添加的CSRF防御取决于随机的每
广告位API接口通信错误,查看德得广告获取帮助

 从理论上讲,您的“ API”可以提供常规的网络内容。不过,有一些怪癖。

出于安全原因,Sandstorm通常不希望应用程序以固定的URL托管Web内容:我们的沙箱以及添加的CSRF防御取决于随机的每个会话主机名。但是,API显然必须具有固定的位置,因此我们有相应的API端点。但是,由于我们不希望常规的Web浏览器从API端点呈现HTML内容(因为它会破坏我们的沙箱),因此我们需要Authorization: bearer标头(Web浏览器从不发送给正常的浏览上下文),并且我们使用标头来提供内容例如Content-Security-Policy和Content-Disposition,试图说服浏览器绝对不应该从此终结点呈现HTML。我们还将删除所有cookie。

现在,如果您的移动应用程序只是锁定到rocket.chat服务器的Web视图,那么可以说绕过Sandstorm的沙箱是可以的-更准确地说,实现任何沙箱而不是Sandstorm是您的应用程序的责任,因为您的应用不是由Sandstorm托管的。然而重要的是,你的应用程序的网页流量应该不会被渲染任何其他网站,应该不会被共享与用户的主要网络浏览器cookie罐。

在这种情况下,您的应用程序可能会做的是直接从API端点获取Web内容,然后进行以下修改将其传递给WebView:

  • 如上所述,将适当的Authorization标头添加到所有请求。
  • 在传递到Web视图之前,先剥离Content-Security-Policy和Content-Disposition标头。
  • 除非您确信以某种方式减轻了CSRF的风险,否则请勿允许WebView或任何嵌套的iframe浏览到任何第三方主机。相反,最好打开用户的常规Web浏览器。

尽管解释了很多,但我认为上述内容应该易于实现?我建议特别在用户输入Webkey作为主机时触发所有这些操作,即,包含上述#字符的URL 

(责任编辑:admin)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
广告位API接口通信错误,查看德得广告获取帮助
推荐内容
广告位API接口通信错误,查看德得广告获取帮助
广告位API接口通信错误,查看德得广告获取帮助