Hallo,

Frage für mich wäre auch, in einer App, die zwar Javascript (s. Phonegap) benutzen würde, aber _keine_ externen JS-Quellen einbindet, wie das XSS überhaupt möglich wäre.

Dazu kenne ich die Interna von PhoneGap zu wenig. Aber du arbeitest immer noch im Browser. Der Browser ist eine Programmierumgebung, die erst einmal Code aus sämtlichen Quellen ausführt. Einschränkungen wie Content Security Policy sind auf PhoneGap meines Wissens nicht anwendbar. Prinzipiell kann also Code von außen hineinkommen, behaupte ich mal. Das kann durch Templates und fehlendes Escaping schnell passieren, wie Crockford auch anmerkt. Auch eine PhoneGap-Anwendung lädt externe Daten, hat Eingaben und Schnittstellen, wenn auch andere als eine öffentliche Website.

Eine Verschlüsselung von Dateninhalten (die ja nicht für den Server sondern für einen anderen Client bestimmt wären), muss den Server in dem Sinne ja garnicht interessieren, die kann ja (s. Phongap) vielleicht auch über ein Addon/Extension/Plugin realisiert werden?

Wenn man eine entsprechende Schnittstelle baut, kann die App sogar auf native Crypto-Funktionen zugreifen.

Mathias