我们的客户指出,代号为一个可视化库的 Webcomponet 允许在其中加载的 JS 中进行跨源资源攻击。
实际上,我们加载到 CodeNameOne-Web-Component 的页面有一些我们编写的 Java 脚本。但是这段 JavaScript 代码没有通过 ajax 或任何其他机制发出外部请求的任何外部调用。我们的 JS 代码仅使用 CN1 提供的技术与我们的 CN1-Java-Code 通信。只有我们的 java 代码执行外部调用。
就是说,是否有某种方法可以在 CN1-web 组件级别禁用 CORS? 可能是一个编译提示,甚至是一个可以设置到 WebComponet 中的标志。因此,我们可以禁用 CORS 并分析应用程序行为。