Сам, буквально неделю назад словил блокировку за приложение, которое вообще является просто фронтом к API на бэке (CRM-система), т.е. фактически приложение это просто клиент.
Не знаю конечно за что забанили автора, но мне конкретно написали «Issue: Violation of Usage of Android Advertising ID policy and section 4.8 of the Developer Distribution Agreement»
Немного погуглив понял, что надо просто выложить политику конфиденциальности на сайте, потому что вход в клиент осуществлялся по номеру телефона
Запилил политику на русском (по шаблону) и выложил на сайте
В гугле указал ссылку на политику и отправил на проверку, через пару часов приложение восстановилось
Раньше всё сидел на Highcharts, а тут пересел на AmCharts, функционал намного богаче, а тут еще и пришлось в AmCharts использовать функции получения цветов из D3 (цветовых схем), так вообще получилась сказка (а то клиента не устроили дефолтные цвета AmCharts)
Вот я и говорю, написано что надо избавиться от кук и перейти на header, как это сделать правильно, чтобы при наличии XSS токен не могли легко украсть.
А в принципе, раз в localstorage есть проблемы, тогда получается что если хранить токен в куках, а можно его с помощью либы github.com/js-cookie/js-cookie вытаскивать и отправлять в header, в таком виде всё гуд? Или я тут напридумывал непонятно что?
Наиболее кардинальный и работающий вариант защититься от CSRF-атак — это избавиться от куков и использовать header с токенами.
О, я как раз так и делаю, всё общение с сервером выполняется через API, при каждом запросе подставляется токен, который хранится в локальных хранилищах браузера (используется либа localForage), я правильно понимаю, что я молодец?
Почему намекнули про кардинальное решение, но не описали его поподробнее?
Сейчас для решения своих проблем копаюсь в интернете, и тут я вспомнил, а ведь есть такая штука как Crosswalk WebView Cordova Plugin (правда она для вас не подходит, а для меня в самый раз). Плагин тянет себе в apk свою версию хрома, увеличивая размер apk на 17 Мб, а размер установленного приложения на 50 Мб. Да крутой такой оверхед, но если задумываться о цене поиска и исправления всех будущих багов и глюков, то возможно можно и пожертвовать.
Хотя это такое себе решение, если все дружно так будут делать то общий оверхед зашкалит.
Возглас в пустоту: Ну почему тюнинговщики Андроида такие зас***цы и что-то там химичат со встроенным браузером (( Думаешь ну вот оно наступило счастье можно быстро и дешево делать приложения для мобильных устройств и тут такая подлянка.
Приложение часть функционала подгружает с сервера (чтобы обновления выкладывать оперативно, без магазина, ничего незаконного всё честно).
Непонятные глюки были на самсунгах (Android 6), приложение подгружало первый скрипт с сервера но не выполняла его, хотя стояло событие на выполнение кода после полной загрузки скрипта. Порешал поставив таймаут в 2 секунды перед запуском кода загруженного скрипта, проблема исчезла.
Теперь вот сяоми (Android 6) тоже странности, в процессе работы меняется карточка питомца и подгружаются данные выбранного, дак вот данные успешно загружаются но на страницу применяются частично (часть данных остается от прошлого). Еще в процессе решения.
При этом весь код без проблем работает на десктопе в браузере Хром, вообще никаких глюков.
Вот теперь из статьи узнал что оказывается Самсунг какой-то свой браузер делают вместо встроенного.
Я тоже первый раз такое узнал. Но если такое и было уже то я ведь не могу читать все ресурсы посвященные теме, я читаю на постоянно основе Хабр, и зачастую это для меня единственный сайт где я узнаю новинки.
Orientation прям то что мне нужно, но раз с устройствами Apple такие танцы с бубном, можно как-то указать ориентацию экрана? Очень нужен именно landscape.
Не знаю конечно за что забанили автора, но мне конкретно написали «Issue: Violation of Usage of Android Advertising ID policy and section 4.8 of the Developer Distribution Agreement»
Немного погуглив понял, что надо просто выложить политику конфиденциальности на сайте, потому что вход в клиент осуществлялся по номеру телефона
Запилил политику на русском (по шаблону) и выложил на сайте
В гугле указал ссылку на политику и отправил на проверку, через пару часов приложение восстановилось
Раньше всё сидел на Highcharts, а тут пересел на AmCharts, функционал намного богаче, а тут еще и пришлось в AmCharts использовать функции получения цветов из D3 (цветовых схем), так вообще получилась сказка (а то клиента не устроили дефолтные цвета AmCharts)
Вот я и говорю, написано что надо избавиться от кук и перейти на header, как это сделать правильно, чтобы при наличии XSS токен не могли легко украсть.
А в принципе, раз в localstorage есть проблемы, тогда получается что если хранить токен в куках, а можно его с помощью либы github.com/js-cookie/js-cookie вытаскивать и отправлять в header, в таком виде всё гуд? Или я тут напридумывал непонятно что?
О, я как раз так и делаю, всё общение с сервером выполняется через API, при каждом запросе подставляется токен, который хранится в локальных хранилищах браузера (используется либа localForage), я правильно понимаю, что я молодец?
Почему намекнули про кардинальное решение, но не описали его поподробнее?
Хотя это такое себе решение, если все дружно так будут делать то общий оверхед зашкалит.
Возглас в пустоту: Ну почему тюнинговщики Андроида такие зас***цы и что-то там химичат со встроенным браузером (( Думаешь ну вот оно наступило счастье можно быстро и дешево делать приложения для мобильных устройств и тут такая подлянка.
Приложение часть функционала подгружает с сервера (чтобы обновления выкладывать оперативно, без магазина, ничего незаконного всё честно).
Непонятные глюки были на самсунгах (Android 6), приложение подгружало первый скрипт с сервера но не выполняла его, хотя стояло событие на выполнение кода после полной загрузки скрипта. Порешал поставив таймаут в 2 секунды перед запуском кода загруженного скрипта, проблема исчезла.
Теперь вот сяоми (Android 6) тоже странности, в процессе работы меняется карточка питомца и подгружаются данные выбранного, дак вот данные успешно загружаются но на страницу применяются частично (часть данных остается от прошлого). Еще в процессе решения.
При этом весь код без проблем работает на десктопе в браузере Хром, вообще никаких глюков.
Вот теперь из статьи узнал что оказывается Самсунг какой-то свой браузер делают вместо встроенного.
P.S. В качестве фронта использую Framework7
Поделитесь пожалуйста этими галочками. Как раз намедни воевал с Самсунгами и тут раз и статья в тему.