setJavaScriptEnabled(false) 是否修复跨应用脚本漏洞

【问题标题】:Does setJavaScriptEnabled(false) fix Cross App Scripting VulnerabilitysetJavaScriptEnabled(false) 是否修复跨应用脚本漏洞
【发布时间】:2021-10-24 09:50:04
【问题描述】:

正如https://support.google.com/faqs/answer/9084685 所提到的,“启用 JavaScript 并加载从不受信任的 Intent 读取的数据的 WebView 可能会被恶意应用欺骗,使其在不安全的上下文中执行 JavaScript 代码。”

这是否意味着 setJavaScriptEnabled(false) 可以修复跨应用脚本漏洞问题?

【问题讨论】:

  • 不,这意味着它可能会暴露您的跨应用脚本漏洞

标签: android webview cross-application


【解决方案1】:

好吧,当您完全禁用脚本 (js) 时,交叉 脚本 将不起作用...查看链接下选项 2 中的点:所有都与 JS 相关,并以某种方式限制了它的使用。当您完全禁用 JS 时,没有什么可以限制的 - 脚本不起作用(也是恶意的)

请注意,有很多方法可以破坏您的应用程序,WebView 可能有两倍...

【讨论】:

    【解决方案2】:

    禁用 javascript 并不能解决问题。例如,如果你插入 html 会发生什么?可能会损坏您的应用或网站。

    最好的办法是将所有数据验证为恶意数据,直到验证为其他数据...

    我真的不是移动开发人员,但我相信您可以添加一些方法来验证您处理的源... Javascript Web 令牌是处理此类身份验证的一种方法。也许有更多android开发经验的人可以纠正我?

    【讨论】:

      猜你喜欢
      • 2016-09-05
      • 1970-01-01
      • 2021-12-17
      • 2011-09-02
      • 1970-01-01
      • 2019-04-05
      • 1970-01-01
      • 1970-01-01
      • 2020-09-20
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode