Android4.2下 WebView的addJavascriptInterface漏洞解决方案

最新推荐文章于 2025-10-31 14:10:25 发布
原创 最新推荐文章于 2025-10-31 14:10:25 发布 · 1.7w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android4.2 #addJavascriptInterfa #解决方案 #javascript #webview

本文介绍了如何解决Android 4.2版本中WebView的addJavascriptInterface引发的安全问题。在混合应用开发中,由于JS可能包含恶意代码,导致通过Native对象调用Java代码的安全隐患。解决方案是利用WebChromeClient的onJsPrompt方法替代addJavascriptInterface,并在API 17以下的系统中动态注入Native对象,以避免修改服务器H5页面内容。代码示例展示了在初始化WebView和页面开始加载时如何实现这一修复。

本人从阿里出来,现在在杭州一家创业公司(杭州菲助科技:公司现有的产品:英语趣配音/老外趣聊/少儿趣配音,用户量已经达到400万),有兴趣一起工作的直接联系QQ:421134693

最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(

最低0.47元/天 解锁文章
梦_枫
关注
android addjavascriptinterface 漏洞,解决android4.2以下addJavaScriptInterface不安全问题
weixin_32534669的博客
06-04 952
问题描述android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞概述Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调...
Android软件开发之webView.addJavascriptInterface循环渐进【一】
Cesborn
08-17 1292
转自:http://blog.csdn.net/kingsollyu/article/details/6656865 首先必要的啰嗦几句,这几天写VC写的累的要死,突然间不想再写想VC了,手里面有一个andriod的手机天天玩到半夜,却从来没有写过这方面的程序,真的是悲哀啊。所
Android WebViewJavaScript与Java交互详解
最新发布
weixin_42355400的博客
10-31 1071
为了确保方法能够被 JavaScript 成功调用,开发者必须使用注解对目标方法进行标记。该注解自 API 17(Android 4.2)引入,旨在防止恶意脚本通过反射机制调用未公开的 Java 方法,从而提升安全性。以下是一个典型的 Java 接口类定义示例:return "{\"name\": \"张三\", \"age\": 28, \"role\": \"developer\"}";// 模拟登录逻辑代码逻辑逐行分析:第 1 行:定义名为JsBridge。
webView.addJavascriptInterface 用法
chuyouyinghe的专栏
12-11 2273
在这里我们引用Google的一个事例下面是我Google给提供的一个dome的地址:点击打开链接 我们先看它的HTML文件,HTML的文件路径是在:点击打开链接 他的代码为: /* This function is invoked by the activity */ /* 这个函数被Activity调用的活动
android addjavascriptinterface 漏洞,Android WebView组件addJavascriptInterface方法远程命令执行漏洞...
weixin_32757449的博客
06-04 550
发布日期:2013-09-05更新日期:2013-09-07受影响系统:Android Android < 4.2描述:--------------------------------------------------------------------------------Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件...
安卓与JS互调之android webview addJavascriptInterface 的方法不能调用
热门推荐
lumingwei2411的博客
03-17 1万+
以前一直觉着用HTML5做Android app是一件很鸡肋的事(勿喷,请恕小的见识少)。 后来又发现很多大公司做的app中都或多或少的使用了html元素,比如微信、qq之类。 最近在网上闲逛发现一个IDE可以使用纯html js css设计app并发布到多个平台,并且更牛的是可以直接使用它提供的js api调用各种系统原生的api。一时心动下载研究。后来发现也并不是想象中多么神奇的事
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
AndroidWebView无法后退和js注入漏洞解决方案
09-02
对于JavaScript注入漏洞,尤其是在Android 4.2及以下版本,WebView的安全性较低,恶意代码可能通过注入JS来操控应用。为了防止这种情况,开发者应启用WebView的安全设置,例如禁用JavaScript执行,或者使用`WebView....
Android WebView的Js对象注入漏洞解决方案
2401_89213290的博客
01-20 972
1,请看**execute()**这个方法,它遍历所有window的对象,然后找到包含getClass方法的对象,利用这个对象的类,找到java.lang.Runtime对象,然后调用“getRuntime”静态方法方法得到Runtime的实例,再调用exec()方法来执行某段命令。**方法中,我们去解析传递过来的文本,得到方法名,参数等,再通过反射机制,调用指定的方法,从而调用到Java对象的方法。【2】关于返回值,可以通过prompt返回回去,这样就可以把Java中方法的处理结果返回到Js中。
java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞(高风险),求解决
weixin_29061465的博客
03-13 561
以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!webview 漏洞(高风险)问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java 和js 的交互。被测应用中存在WebView 漏洞...
Android (Arctic Fox P2) Kotlin WebView.addJavascriptInterface
Nnnn的博客
01-21 2576
1. 自定义需要注入Webiew的JavascriptObject: // 继承Object基类 class JavascriptObject: Object(){ public fun doBefore(arg: Any?){ } // 注解1 @JavascriptInterface public fun do(arg: String?){ } } 2. 往Webiew注入Javascript Interface类: // 注解2 @Su
Android-抛弃使用高风险的WebViewaddJavascriptInterface方法通过对js层调用函数及回调函数的包装
08-13
支持异步回调,方法参数支持js所有已知的类型,包括数字,字符串,布尔值,对象,函数。同时还针对WebView的一些常用的方法进行了一定的封装,像返回,刷新,网页中图片保存,是否用系统浏览器进行打开
Android WebViewaddJavascriptInterface 探究
juruiyuan111的专栏
05-09 1456
Java和JS交互的方式有多种,这里探讨的方式是通过以下方式进行的交互。这篇文章是想弄明白 JavaScript 和 Java是如何实现这种方式互调的,就从源码角度开始分析。
android软件开发之webView.addJavascriptInterface循环渐进【二】
JMathias的博客
10-27 699
新建工程 为了让大家更容易的理解,所以我这里就尽量的将代码缩短,这是我的工程的配置 创建好工程之后,然后将界面调整为下面这样 添加代码 首先将两个button和webview添加进来,并给web添加两个JavaScript调用接口,testFunc1和testFunc2 private Button m_testButtom1; private Button m_te
webview 源码追踪addJavascriptInterface(android10)
yanjingjiangjun的专栏
03-12 2032
参考 https://www.jianshu.com/p/182e4985b669 https://www.jianshu.com/p/a8ed39a17f3f webview.java关键代码 private void ensureProviderCreated() { checkThread(); if (mProvider == null) { // As this can get called during the base clas
Android WebView 中实现和 JavaScript 的互操作
sinat_17133389的博客
12-10 1728
有两个参数。其中 object 即需要提供给 js 调用的对象。在 Android 4.1.2 (API 16) 以下时,js 可以调用该对象的所有公开方法;在 Android 4.2 (API 17)以上时, js 只能调用添加了注解的公开方法。之所以会有这样的改动,是因为在 API 16 之前可以调用所有公开方法具有安全隐患,例如可以利用 jave 的反射机制实现任意命令的执行。interfaceName 即 js 调用时的接口名称。我们可以通过 webview 的。
AndroidWebViewJavascript简单交互
lvshuchangyin的专栏
10-21 2067
从目前市面的大部分App来讲,大致分成Native App、Web App、Hybrid App三种方式,Hybrid App单纯的数据展示我们直接采用WebView来渲染就可以了,但是有时候可能会用到两者之间传递参数的情况,今天就来总结一下两者之间如何互相调用。本篇主要介绍WebViewJavascript的数据交互。 WebViewJavascript交互: WebVi
WebView 安全之 addJavascriptInterface
bolang789的博客
05-12 5283
WebView 安全之 addJavascriptInterface 不会写代码的IT男关注 2016.01.03 18:14*字数 474阅读 5668评论 0喜欢 3 0x00 addJavascriptInterface介绍 WebViewAndroid平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Goo...
androidwebview使用
xiangjai的专栏
12-17 1万+
WebView使用 使用中遇到的问题: 1、解决webview缓存: WebSettings.LOAD_NO_CACHE   或者直接清除缓存 2、解决webview无法弹出alert: WebChromeClient中重写onJsAlert方法 3、解决webview获取网页内容“: addJavascriptInterface(new InJavaScriptLocalOb
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值