Using setJavaScriptEnabled can introduce XSS vulnerabilities into you application

最新推荐文章于 2019-04-03 15:07:12 发布
最新推荐文章于 2019-04-03 15:07:12 发布
阅读量5.4k 收藏 2
点赞数
分类专栏: Android 文章标签: java android应用 webview

Android Warning : Using setJavaScriptEnabled can introduce XSS vulnerabilities into you application, review carefully.


原因:如果你的应用没有在WebView内直接使用JavaScript,不要调用setJavaScriptEnabled()我们见过这个方法在简单的代码中执行,也许会导致在产品应用中改变用途 -- 所以如果必要的化移除它默认的,WebView不执行JavaScript,所以跨站脚本攻击不可能产生。使用addJavaScriptInterface()要特别的小心,因为它允许JavaScript执行通常保留给Android应用的操作只把addJavaScriptInterface()暴露给可靠的输入源,如果不受信任的输入是被允许的,不受信任的JavaScript也许会执行Android方法。
解决方法:
1、开发文档中WebView有所提及
2、最简单的方法:加入:@SuppressLint("SetJavaScriptEnabled")  忽略这个警告
thresh0ld
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidJavaScript相互调用的方法
01-05
本文实例讲述了AndroidJavaScript相互调用的方法。分享给大家供大家参考,具体如下: Html页面和Java代码结合的方式一般用在界面经常被更改 的情况下,可以讲html放在网络中,软件一打开就会访问网络获取到最新的界面。缺点是会受到网络信号的影响,从而导致访问速度慢。 1.用WebView来显示HTML代码 2.允许WebView执行JavaScript 代码如下:webView.getSettings().setJavaScriptEnabled(true); 3.获取到HTML文件,也可从网络中获取 代码如下:webView.loadUrl(“file:///andro
Android 获取WebView加载网页的例子.rar
07-10
Android 获取WebView加载网页的例子,这个方法挺简单的,希望大家喜欢。   // 获取WebView对象   WebView webview = (WebView) findViewById(R.id.webview);   // 使能JavaScript   webview.getSettings().setJavaScriptEnabled(true);   // 如果需要在WebView中显示网页,而不是在内置浏览器中浏览,   // 则需要mWebView.setWebViewClient,并重写   // shouldOverrideUrlLoading方法。   webview.setWebViewClient(new WebViewClientDemo());   // 加载网页   webview.loadUrl("http://www.sina.com.cn/" "");   //在WebView中而不是默认浏览器中显示页面   public boolean shouldOverrideUrlLoading(WebView view, String url)   {    view.loadUrl(url);    return true;   }
Android WebView使用的技巧与一些坑
01-20
随着手机性能的提高,以及iOS和Android两个平台的普及,更多的App都会选择两个平台的App都进行开发,在有些时候,为了更加快速的开发,我们会采用hybird方式开发,这个时候我们需要使用webview并且自己进行一些配置。Androidwebview在低版本和高版本采用了不同的webkit版本内核,4.4后直接使用了chrome,因此问题很多,这里分享一些我使用过程的一些技巧和遇到的坑。 ###webview配置### mWebview.getSettings().setJavaScriptEnabled(true); //设置允许运行javascript // HTML5 API
android在线查看pdf文档
05-02
pdfShowWebView = (WebView) findViewById(R.id.pdf_show_webview); pdfShowWebView.setWebViewClient(new WebViewClient() { @Override public boolean shouldOverrideUrlLoading(WebView view, String url) { // 返回值是true的时候控制去WebView打开,为false调用系统浏览器或第三方浏览器 view.loadUrl(url); return true; } }); WebSettings settings = pdfShowWebView.getSettings(); settings.setSavePassword(false); settings.setJavaScriptEnabled(true); settings.setAllowFileAccessFromFileURLs(true); settings.setAllowUniversalAccessFromFileURLs(true); settings.setBuiltInZoomControls(true); pdfShowWebView.setWebChromeClient(new WebChromeClient()); if (!"".equals(docPath)) { byte[] bytes = null; try {// 获取以字符编码为utf-8的字符 bytes = docPath.getBytes("UTF-8"); } catch (UnsupportedEncodingException e1) { e1.printStackTrace(); } if (bytes != null) { docPath = new BASE64Encoder().encode(bytes);// BASE64转码 } } pdfShowWebView.loadUrl("file:///android_asset/pdfjs/web/viewer.html?file="+ docPath);
Android myWebView实现单词翻译-口袋词典.rar
07-10
Android 写的一个翻译小程序,应该说是一个网络编程的初级范例,使用myWebView实现单词翻译-口袋词典,运行界面效果请参见截图,相关代码:   EditText myEditText;//用于接收用户输入   WebView myWebView;//WebView,用户显示html    @Override    public void onCreate(Bundle savedInstanceState) {//重写的onCreate方法    super.onCreate(savedInstanceState);    setContentView(R.layout.main);//设置当前的用户界面    myEditText = (EditText) findViewById(R.id.myEditText);//得到EditText的引用    myWebView = (WebView) findViewById(R.id.myWebView);//得到WebView的引用    WebSettings myWebSettings = myWebView.getSettings();//取得WebSettings    myWebSettings.setJavaScriptEnabled(true);//设置可以运行JavaScript    myWebView.addJavascriptInterface(this, "ytl");//设置给html调用的对象及名称    String url = "file:///android_asset/translate.html";    myWebView.loadUrl(url);//将assets/translate.html载入    }   public void runJavaScript(){//自定义的执行脚本的方法    if (myEditText.getText().toString() != ""){//当用户输入的数据不为空时    //调用translate.html里javascript的translate方法    myWebView.loadUrl("[removed]translate('" myEditText.getText().toString() "')");    }   }
Using setJavaScriptEnabled can Introduce XSS Vulnerabilities into&
未来很长,但我会努力的走下去。
04-28 4007
Android Warning : Using setJavaScriptEnabled can introduce XSS vulnerabilities into you application, review carefully. 原因:如果你的应用没有在WebView内直接使用JavaScript,不要调用setJavaScriptEnabled()我们见过这个方法在简单的代码中执行,也
【朝花夕拾】Lint篇
weixin_34029949的博客
06-28 188
工作中Lint工具使用实录及整理 AndroidStudio内置的Lint工具,对app中的代码规范带来了极大的方便。对内存泄漏、代码冗余、代码安全、国际化、代码规范等很多方面都能检测,是一款非常强大的工具。本篇文章是自己使用过程中的过程记录,...
java代码审计手书(四)
一个码农的笔记
11-29 7708
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
Android性能优化--Inspact Code代码检查
金福林的博客
09-24 2423
一.前言在Android Studio中,Google还提供了很多代码分析工具,这些工具都集中在Android Studio的Analyze菜单中 通过Inspect Code功能,可以让IDE分析整个工程,类似于AndroidLint分析 Inspect Code不仅提供了Lint的检测功能,还提供了一些其他的代码静态分析结果,同时给出了大致的修改意见,你也可以选择Code Cleanup功能来
【朝花夕拾】Lint使用篇
aw1070的博客
06-28 436
工作中Lint工具使用实录及整理 转载请声明,转自【https://www.cnblogs.com/andy-songwei/p/7090934.html】,谢谢! AndroidStudio内置的Lint工具,对app中的代码规范带来了极大的方便。对内存泄漏、...
Webview使用总结
漏光的世界
10-18 5065
很早前就喜欢在Android中使用Webview组件结合JS来做应用,总结了一些不错的小经验,在这里持续更新,自己备忘,也希望给其他需要的同学一些参考~1.添加权限要用Webview,确认你在**AndroidManifest.xml** 中添加了使用许可 "android.permission.INTERNET" ,否则会出Web page not available错误。 1 2.开启
Gradle 同步 已经开始 Gradle sync started
weixin_34352005的博客
08-07 2362
Gradle 同步 已经开始 Gradle sync started 作者:韩梦飞沙 Author:han_meng_fei_sha 邮箱:[email protected] E-mail: 313134555 @qq.com 安卓Gradle插件更新 介绍 介绍 recommended 为了利用所有最新的特性(例如即时运行), 改进和安全...
WebView的使用
huanongjingchao的专栏
01-14 6789
原文作者: iceskysl 原文地址: http://my.eoe.cn/iceskysl/archive/1028.html 1.添加权限 要用Webview,确认你在**AndroidManifest.xml** 中添加了使用许可 "android.permission.INTERNET" ,否则会出Web page not available错误。
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
introduce spring
架构师的成长之路
03-31 159
spring 作者对spring的介绍    
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1549
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
setjavascriptenabled
最新发布
03-16
setjavascriptenabled是一个Android中的方法,用于设置WebViewJavaScript的启用状态。如果设置为true,则启用JavaScript,否则禁用JavaScript。这个方法可以在WebView的设置中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值