问题描述
android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞
概述
Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何Java 类,最终导致JavaScript 能力的无限增强。攻击者利用该漏洞可以根据客户端能力为所欲为。
修复方法:
android 4.2以上使用@Javascriptinterface注解标记js需要调用的原生方法
android 4.2以下建议不要使用
webView.addJavascriptInterface(... , ...)
- 我们项目的修改方式是
js使用如下代码:
var loadUrl = function(url) {
var _script= document.createElement("script");
_script.setAttribute("src", url);
_script.setAttribute("style", "display:none;");
_script.setAttribute("height", "0px");
_script.setAttribute("width", "0px");
_script.setAttribute("frameborder", "0");
document.body.appendChild(_script);
_script.parentNode.removeChild(_script);
_script= null;
};
js代码添加script标签,导入src,在android原生端我们可以利用
public WebResourceResponse shouldInterceptRequest(WebView view, final String url)
拦截src中加载的内容,src中url的格式为
android://localhost/.../{...}
android是协议名,localhost是主机名,…使用请求action,最后{..}是参数
android端解析代码如下:
@Override
public WebResourceResponse shouldInterceptRequest(WebView view, final String url) {
Uri uri = Uri.parse(url);
// 如果 authority = 预先约定协议里的 localhost,即代表都符合约定的协议
// 所以拦截url,下面JS开始调用Android需要的方法
if (uri.getScheme().equals("android")) {
if (uri.getAuthority().equals("localhost")) {
String path = uri.toString();
//解析action
String action = path.substring(..., path.indexOf("/", ...));
//解析params
String params = path.substring(path.lastIndexOf('/') + 1);
try {
...
//执行相关方法
//参数如果有中文需要转码
URLDecoder.decode(params, "UTF-8")
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
}
...
return super.shouldInterceptRequest(view, url);
}