Cordova、iOS 和 iframe 不会加载内容，除非我允许访问 href="*"

我有一个网络应用程序，它有一个嵌入式地图字段，它是使用 iframe 实现的https://maps.google.com/ https://maps.google.com/...

我正在将我们的应用程序（当前作为主屏幕图标运行）移植到 iOS 上的 Cordova，因此添加了 Cordova 包装器。我们已经通过 Cordova 在 Android 上运行该应用程序。

我有一个div，有一个子元素

<iframe src="https://maps.google.com/?iwloc=&output=embed&q=something"></iframe>

最初，当 Cordova 项目只关注 Android 时，我曾config.xml

<access origin="*" />
<access origin="file://*" />
<access origin="http://*" />
<allow-navigation href="http://*" />

然而，这是行不通的。这iframe地图 url 甚至不会尝试加载，并且没有任何迹象表明原因。

所以我开始阅读并尝试这些设置，基本上在 iOS 上，它们所做的就是映射到NSAppTransportSecurity设置在Info.plist.

事实证明<allow-navigation href="http://*" />被完全忽略，仅支持指定域或仅支持 * 的允许导航，因此我尝试了更具体的基于域的导航，例如

<allow-navigation href="http://maps.google.com/*" />

这会创建一个域条目maps.google.com和集NSExceptionAllowsInsecureHTTPLoads to true但 iframe 仍然无法加载。

我能找到的唯一允许 iframe 加载地图 URL 的方法是添加

<allow-navigation href="*"/>

这基本上设置了NSAllowsArbitraryLoads to true这基本上会关闭 TLS，并会触发应用程序审核并需要理由。

边注：<access origin="*"/>还设置NSAllowsArbitraryLoads to true但单独阻止初始 URL 加载到 webview 内部（它从外部加载）。

我对 config.xml 或 config.xml 的组合有点不知所措NSAppTransportSecurity设置我需要让它工作，而不仅仅是允许一切和应用程序审查问题，这无疑会触发。

注意：这些请求不会触发 CSP 警告，我认为 webview 甚至没有达到那么远，如果我将allow-navigation 设置为 * 它可以工作，这表明 CSP 没问题。

当它失败时，我在 Web 调试器中针对该请求得到的只是“尝试加载资源时发生错误”，而 XCode 控制台中没有任何内容。

在解决了同样的问题之后，我找到了一个适合我的配置！

我希望我的应用程序在 iframe 中包含 Google 日历，这意味着我需要为 Cordova 指定 Google 日历的 URL 应在应用程序的 Web 视图中处理。

Having <allow-navigation href="*" />使其工作，但它有一个副作用，即用户单击的所有链接也将在网络视图内处理（我的应用程序具有向用户提供新闻提要的功能，有时文本中会有用户的链接点击）。在我的应用程序的全屏 Web 视图中包含任意网页，用户无法导航回我的应用程序。在 Android 上总是有一个“后退按钮”，但在 iOS 上没有，迫使用户退出应用程序。

我的解决方案有两个方面：在allow-navigation中指定URL并设置允许内容和脚本的CSP：

In config.xml:

<access origin="*"/>
<allow-navigation href="https://calendar.google.com/*" />
<allow-navigation href="https://apis.google.com/*" />
<allow-navigation href="https://clients6.google.com/*" />

在 iOS 上，这还不够calendar.google.com;我必须找到 iframe 访问的所有域，因此需要上面的三个 URL。我使用 Chrome 的检查工具中的网络日志来查找这些域。 对于 Android 来说这是没有必要的。

我本可以设置<allow-navigation href="https://*.google.com/* />，但这对于我的需求来说太宽泛了（例如，指向“www.google.com”的链接将在 webview 而不是外部浏览器中处理）。

In index.html:

<head>
...
    <meta http-equiv="Content-Security-Policy"
          content="default-src * 'self' data: gap: 'unsafe-inline' 'unsafe-eval';
          style-src * 'self' 'unsafe-inline' 'unsafe-eval' gap:;
          script-src * 'self' 'unsafe-inline' 'unsafe-eval' gap:;">
...

注意 - 上面的 CSP 可能允许太多。但这只是一个起点，然后您可以根据应用程序的需求缩小访问范围。

现在应用程序呈现iframe在 iOS 和 Android 上正确使用 Google 日历 URL，并允许其他链接调用设备的浏览器（即应用程序外部）。