导出 (0) 打印
全部展开
信息
您所需的主题如下所示。但此主题未包含在此库中。

Windows Phone 8 的 WebBrowser 控件安全最佳做法

2014/6/18

适用于:Windows Phone 8 和 Windows Phone Silverlight 8.1 | Windows Phone OS 7.1

开发使用 WebBrowser 控件的应用程序时,请考虑以下有关安全性的最佳做法和信息:

  • 从独立存储加载的内容或使用 NavigateToString(String) 方法动态加载的内容的处理方式不同于从网络加载的内容。从独立存储加载的内容或使用 NavigateToString 动态加载的内容没有跨站点限制,但从网络加载的内容有正常的跨站点限制。因此,在从独立存储加载或使用 NavigateToString 动态加载不受信任的内容时应格外小心。

    例如,考虑一个包含一个按钮的应用程序,该按钮允许用户缓存他们浏览过的网页的内容。在后端,使用 SaveToString() 方法将该网页的内容保存到独立存储。现在,考虑该应用程序允许用户使用本地文件从嵌入的 WebBrowser 控件中返回浏览该内容。此时将加载该内容,而没有任何跨站点限制。

  • 请注意传递给 InvokeScript(String) 方法的数据的敏感性。例如,隐私或位置数据不应该向不受信任的脚本代码公开。

  • 不应该使用 WebBrowser 控件创建常规用途的浏览器应用程序,因为此 API 并未设计为支持此类应用程序所需的全部安全功能。

  • WebBrowser 控件不提供查看 URL 或安全锁图标的功能。

  • 在 WebBrowser 控件中,用户不能从 https 页面导航到 http 页面。这不同于设备浏览器,在设备浏览器中用户可以从 https 页面导航到 http 页面。

  • 应用程序不能与 Internet Explorer Mobile 共享 Cookie。

  • 默认情况下在浏览器中会禁用脚本,除非您在应用程序中将 IsScriptEnabled 属性设置为 true。

显示:
© 2014 Microsoft