是否可以破解 javascript 界面?

【问题标题】:is it possible to hack javascript interface?是否可以破解 javascript 界面?
【发布时间】:2019-11-16 22:52:09
【问题描述】:

我在 webview 上使用 javascript 界面。它可以破解吗?如果是的话,它会冒着客户电话的风险吗?

@JavascriptInterface
   public void SaveStatus(String divID){
   DataBaseAdapter da = new DataBaseAdapter();
   da.save(divID);
  }

【问题讨论】:

  • 您对“可破解”的定义是什么?您对“冒着客户电话风险”的定义是什么? JavaScript 可以调用该方法。如果您无法控制该 JavaScript,那么有人可以编写调用该方法的 JavaScript,其方式和时间可能出乎您的意料。一般来说,如果您使用addJavascriptInterface(),您只想加载您创建的网页内容,而不是任意网页。
  • 是的,冒着客户电话的风险。这不是你的手机,所以谁在乎
  • Straight from the docs: 这是一个强大的功能,但也存在安全风险 [SIC:在各种操作系统条件下]

标签: javascript java android android-studio


【解决方案1】:

通过将该函数暴露给 JavaScript 环境,页面上运行的不受信任的代码可以执行它。如果该页面易受JavaScript injection 的攻击,攻击者可以利用它代表用户执行该功能。这是否存在安全风险取决于您的威胁模型以及此功能的作用。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-08-22
    • 2021-07-26
    • 2013-03-22
    • 2011-10-23
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode