1. access
定义app可交互的domain，默认可与任何domain交互
适用于 main Cordova webview, 不适用于 InAppBrowser webview
或打开系统浏览器
举例：

• Access to google.com:

  <access origin="http://google.com" />
  

• Access to the secure google.com(https://):

  <access origin="https://google.com" />
  

• Access to the subdomain maps.google.com:

  <access origin="http://maps.google.com" />
  

• Access to all the subdomains on google.com, for example mail.google.comand docs.google.com:

  <access origin="http://*.google.com" />
  

• Access to_all_domains, for example, google.comand developer.mozilla.org:

  <access origin="*" />

2. allow-navigation
控制WebView能跳转的URL，在最顶层生效

<!-- 允许跳转 example.com -->
<allow-navigation href="http://example.com/*" />

<!-- 路径前缀后缀可以使用通配符 -->
<allow-navigation href="*://*.example.com/*" />

<!-- 通配符配置可访问全网无论http还是https *不推荐*-->
<allow-navigation href="*" />

<!-- 上述三个最终等同以下配置 -->
<allow-navigation href="http://*/*" />
<allow-navigation href="https://*/*" />
<allow-navigation href="data:*" />

3. allow-intent
控制App可让系统打开的网址（默认不允许打开任何网址）

<!-- 允许任何网址在浏览器打开 -->
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />

<!-- 允许example.com在浏览器打开 -->
<allow-intent href="http://example.com/*" />

<!-- 前后缀可通配符配置 -->
<allow-intent href="*://*.example.com/*" />

<!-- 允许短信链接打开app -->
<allow-intent href="sms:*" />

<!-- 允许打开通话 -->
<allow-intent href="tel:*" />

<!--允许打开地图-->
<allow-intent href="geo:*" />

<!-- 允许所有未识别网址打开所下载的app*不推荐* -->
<allow-intent href="*" />

白名单不适用插件内打开链接，只适用于超链接打开window.open().

参考白名单Cordova官网