我有一个使用 Javascript 代码的本地 HTML 文件。我正在使用 webview 为我的 android 应用程序加载 HTML 文件。我只是在我的应用程序中显示文本内容。我的屏幕上没有导航或用户登录。
我在我的 Java 代码中使用 setJavaScriptEnabled(true) 和 setWebViewClient 来加载。我收到有关使用 setJavaScriptEnabled(true) 的 XSS 漏洞的警告。
我也没有调用其他 .js 或 .css 文件。
我没有在我的应用程序中调用任何其他网站。我的 Android 应用程序是否足够安全免遭盗版,或者我是否应该添加额外的代码或步骤来保护我的应用程序代码免受黑客攻击?请提出建议。
【问题讨论】:
标签: android eclipse webview xss
发布答案为时已晚。希望这对将来的人们有用。
Android webview 极易受到跨站脚本攻击,因为它没有现代浏览器(如 Chrome 或 Firefox)使用的任何预防机制。 Webview 也容易受到不安全的直接对象引用和 SQL 注入的影响。
XSS 漏洞潜力可用于使用 file:/// 命令获取对共享首选项文件的访问权限,或者可以利用 smsJSInterface.launchSMSActivity 从手机发送不需要的 SMS 消息。
您必须为 webview 禁用 javascript 或者,如果您不能这样做,请确保使用 XSS 过滤器组件(例如 OWASP Java Encoder Project)正确转义每个上下文。
【讨论】:
我在上面链接你的问题有很多由提出问题的人实施的方法。如果你问我,他的出色工作。他仍然担心他的应用程序的安全性。好吧,如果您正在为旧设备(4.0 及以下)进行开发,也许使用他正在使用的技术是最好的选择。否则,只需按照最佳答案的建议进行操作,并将其添加到您的清单中:
<manifest>
<meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
android:value="true" />
. . .
<application> . . . </application> </manifest>
这将为您应用中的所有 WebView 启用安全浏览。
祝你好运,希望对你有所帮助:)
【讨论】: