Android 你要的WebView与 JS (Vue)交互方式 webview漏洞和缓存机制 性能优化 白屏问题解决

最新推荐文章于 2024-04-16 14:52:53 发布
最新推荐文章于 2024-04-16 14:52:53 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: webview的hybird混合开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WHB20081815/article/details/88622721
版权


 

 

 

 

 

学习大纲:

WebSettings

常用方法

  • setJavaScriptEnabled(boolean flag):是否支持 Js 使用。
  • setCacheMode(int mode):设置 WebView 的缓存模式。
  • setAppCacheEnabled(boolean flag):是否启用缓存模式。
  • setAppCachePath(String appCachePath):Android 私有缓存存储,如果你不调用setAppCachePath方法,WebView将不会产生这个目录。
  • setSupportZoom(boolean support):是否支持缩放。
  •  

WebViewClient

1、常用方法

  • onPageStarted

不错的参考
https://blog.csdn.net/violetjack0808/article/details/52936157

 

1. 交互方式总结

 

Android与JS通过WebView互相调用方法,实际上是:

Android去调用JS的代码

JS去调用Android的代码

 

二者沟通的桥梁是WebView

 

对于Android调用JS代码的方法有2种: 

1. 通过WebView的loadUrl() 

2. 通过WebView的evaluateJavascript()

 

通过WebView的evaluateJavascript()

 

优点:该方法比第一种方法效率更高、使用更简洁。

因为该方法的执行不会使页面刷新,而第一种方法(loadUrl )的执行则会。

Android 4.4 后才可使用

具体使用

// 只需要将第一种方法的loadUrl()换成下面该方法即可

    mWebView.evaluateJavascript("javascript:callJS()", new ValueCallback<String>() {

        @Override

        public void onReceiveValue(String value) {

            //此处为 js 返回的结果

        }

    });

}

 

2.1.2 方法对比

 

 

使用建议

两种方法混合使用,即Android 4.4以下使用方法1,Android 4.4以上方法

 

// Android版本变量

final int version = Build.VERSION.SDK_INT;

// 因为该方法在 Android 4.4 版本才可使用,所以使用时需进行版本判断

if (version < 18) {

    mWebView.loadUrl("javascript:callJS()");

} else {

    mWebView.evaluateJavascript("javascript:callJS()", new ValueCallback<String>() {

        @Override

        public void onReceiveValue(String value) {

            //此处为 js 返回的结果

        }

    });

}

 

对于JS调用Android代码的方法有3种: 

1. 通过 WebViewClient 的shouldOverrideUrlLoading ()方法回调拦截 url 

2. 通过WebView的addJavascriptInterface

3. 通过 WebChromeClient 的onJsAlert()、onJsConfirm()、onJsPrompt()方法回调拦截JS对话框alert()、confirm()、prompt() 消息

方法回调拦截JS对话框alert()confirm()prompt() 消息

第二种方式:

// 继承自Object类

public class AndroidtoJs extends Object {

 

    // 定义JS需要调用的方法

    // 被JS调用的方法必须加入@JavascriptInterface注解

    @JavascriptInterface

    public void hello(String msg) {

        System.out.println("JS调用了Android的hello方法");

    }

}

 

在Android通过WebViewClient复写shouldOverrideUrlLoading ()

mWebView.setWebViewClient(new WebViewClient() {

                                      @Override

                                      public boolean shouldOverrideUrlLoading(WebView view, String url) {

 

方式3:通过 WebChromeClient 的onJsAlert()onJsConfirm()onJsPrompt()方法回调拦截JS对话框alert()confirm()prompt() 消息

在JS中,有三个常用的对话框方法:

 

方式3的原理:Android通过 WebChromeClient 的onJsAlert()、onJsConfirm()、onJsPrompt()方法回调

分别拦截JS对话框 (即上述三个方法),得到他们的消息内容,然后解析即可。

 

 

常用的拦截是:拦截 JS的输入框(即prompt()方法)

因为只有prompt()可以返回任意类型的值,操作最全面方便、更加灵活;而alert()对话框没有返回值;confirm()对话框只能返回两种状态(确定 / 取消)两个值

步骤1:加载JS代码,如下: 

javascript.html

 

以.html格式放到src/main/assets文件夹里

<!DOCTYPE html>

<html>

   <head>

      <meta charset="utf-8">

      <title>Carson_Ho</title>

 

     <script>

 

    function clickprompt(){

    // 调用prompt()

    var result=prompt("js://demo?arg1=111&arg2=222");

    alert("demo " + result);

}

 

      </script>

</head>

 

<!-- 点击按钮则调用clickprompt() -->

   <body>

     <button type="button" id="button1" οnclick="clickprompt()">点击调用Android代码</button>

   </body>

</html>

 

当使用mWebView.loadUrl("file:///android_asset/javascript.html")加载了上述JS代码后,就会触发回调onJsPrompt(),具体如下:

 

如果是拦截警告框(即alert()),则触发回调onJsAlert();

如果是拦截确认框(即confirm()),则触发回调onJsConfirm();

步骤2:在Android通过WebChromeClient复写onJsPrompt()

public class MainActivity extends AppCompatActivity {

 

    WebView mWebView;

// Button button;

 

    @Override

    protected void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        setContentView(R.layout.activity_main);

 

        mWebView = (WebView) findViewById(R.id.webview);

 

        WebSettings webSettings = mWebView.getSettings();

 

        // 设置与Js交互的权限

        webSettings.setJavaScriptEnabled(true);

        // 设置允许JS弹窗

        webSettings.setJavaScriptCanOpenWindowsAutomatically(true);

 

// 先加载JS代码

        // 格式规定为:file:///android_asset/文件名.html

        mWebView.loadUrl("file:///android_asset/javascript.html");

        mWebView.setWebChromeClient(new WebChromeClient() {

                                        // 拦截输入框(原理同方式2)

                                        // 参数message:代表promt()的内容(不是url)

                                        // 参数result:代表输入框的返回值

                                        @Override

                                        public boolean onJsPrompt(WebView view, String url, String message, String defaultValue, JsPromptResult result) {

                                            // 根据协议的参数,判断是否是所需要的url(原理同方式2)

                                            // 一般根据scheme(协议格式) & authority(协议名)判断(前两个参数)

                                            //假定传入进来的 url = "js://webview?arg1=111&arg2=222"(同时也是约定好的需要拦截的)

 

                                            Uri uri = Uri.parse(message);

                                            // 如果url的协议 = 预先约定的 js 协议

                                            // 就解析往下解析参数

                                            if ( uri.getScheme().equals("js")) {

 

                                                // 如果 authority = 预先约定协议里的 webview,即代表都符合约定的协议

                                                // 所以拦截url,下面JS开始调用Android需要的方法

                                                if (uri.getAuthority().equals("webview")) {

 

                                                    //

                                                    // 执行JS所需要调用的逻辑

                                                    System.out.println("js调用了Android的方法");

                                                    // 可以在协议上带有参数并传递到Android上

                                                    HashMap<String, String> params = new HashMap<>();

                                                    Set<String> collection = uri.getQueryParameterNames();

 

                                                    //参数result:代表消息框的返回值(输入值)

                                                    result.confirm("js调用了Android的方法成功啦");

                                                }

                                                return true;

                                            }

                                            return super.onJsPrompt(view, url, message, defaultValue, result);

                                        }

 

// 通过alert()和confirm()拦截的原理相同,此处不作过多讲述

 

                                        // 拦截JS的警告框

                                        @Override

                                        public boolean onJsAlert(WebView view, String url, String message, JsResult result) {

                                            return super.onJsAlert(view, url, message, result);

                                        }

 

                                        // 拦截JS的确认框

                                        @Override

                                        public boolean onJsConfirm(WebView view, String url, String message, JsResult result) {

                                            return super.onJsConfirm(view, url, message, result);

                                        }

                                    }

        );

 

            }

 

        }

方式三的调用demo:链接地址如下

 

2.2.2 三种方式的对比 & 使用场景

 

3. 总结

  • 本文主要对Android通过WebView与JS的交互方式进行了全面介绍

 

 

webview的缓存机制

Android WebView自带的缓存机制有5种: 

1.浏览器 缓存机制

2.Application Cache 缓存机制

3.Dom Storage 缓存机制

4.Web SQL Database 缓存机制

5.Indexed Database 缓存机制

6.File System 缓存机制(H5页面新加入的缓存机制,虽然Android WebView暂时不支持,但会进行简单介绍)

 

webview的那些坑:

1、内存泄漏问题,尤其注意Android 5.0系统的WebView移除不了的问题;

2、webcorethread的wait问题,不知道什么时候就会发生,完全束手无策。后果是什么?退出页面没有卵用,只能杀进程。

3、Android4.2以下手机的JavaScript interface的注入漏洞问题,完全不要太危险;

WebView中,主要漏洞有三类:

 

  • 任意代码执行漏洞
  • 密码明文存储漏洞
  • 域控制不严格漏洞

 

2.1.1 addJavascriptInterface 接口引起远程代码执行漏洞

A. 漏洞产生原因

JS调用Android的其中一个方式是通过addJavascriptInterface接口进行对象映射:

<span style="color:#000000"><span style="color:#abb2bf"><span style="color:#2f2f2f"><code><span style="color:#c678dd">function</span> <span style="color:#61aeee">execute</span>(cmdArgs)  
{  
    <span style="color:#929292">// 步骤1:遍历 window 对象</span>
    <span style="color:#929292">// 目的是为了找到包含 getClass ()的对象</span>
    <span style="color:#929292">// 因为Android映射的JS对象也在window中,所以肯定会遍历到</span>
    <span style="color:#c678dd">for</span> (<span style="color:#c678dd">var</span> obj <span style="color:#c678dd">in</span> <span style="color:#e6c07b">window</span>) {  
        <span style="color:#c678dd">if</span> (<span style="color:#98c379">"getClass"</span> <span style="color:#c678dd">in</span> <span style="color:#e6c07b">window</span>[obj]) {  

      <span style="color:#929292">// 步骤2:利用反射调用forName()得到Runtime类对象</span>
            alert(obj);          
            <span style="color:#c678dd">return</span>  <span style="color:#e6c07b">window</span>[obj].getClass().forName(<span style="color:#98c379">"java.lang.Runtime"</span>)  

      <span style="color:#929292">// 步骤3:以后,就可以调用静态方法来执行一些命令,比如访问文件的命令</span>
getMethod(<span style="color:#98c379">"getRuntime"</span>,<span style="color:#56b6c2">null</span>).invoke(<span style="color:#56b6c2">null</span>,<span style="color:#56b6c2">null</span>).exec(cmdArgs);  

<span style="color:#929292">// 从执行命令后返回的输入流中得到字符串,有很严重暴露隐私的危险。</span>
<span style="color:#929292">// 如执行完访问文件的命令之后,就可以得到文件名的信息了。</span>
        }  
    }  
}   </code></span></span></span>

 

  • Android中的对象有一公共的方法:getClass() ;
  • 该方法可以获取到当前类 类型Class
  • 该类有一关键的方法: Class.forName;
  • 该方法可以加载一个类(可加载 java.lang.Runtime 类)
  • 而该类是可以执行本地
  • 当一些 APP 通过扫描二维码打开一个外部网页时,攻击者就可以执行这段 js 代码进行漏洞攻击。
  • 在微信盛行、扫一扫行为普及的情况下,该漏洞的危险性非常大

2.2 密码明文存储漏洞

2.2.1 问题分析

WebView默认开启密码保存功能 :

<span style="color:#000000"><span style="color:#abb2bf"><span style="color:#2f2f2f"><code>mWebView.setSavePassword(<span style="color:#56b6c2">true</span>)`</code></span></span></span>

 

2.3 域控制不严格漏洞

1. setAllowFileAccess()

<span style="color:#000000"><code>// 设置是否允许 WebView 使用 File 协议
webView.getSettings().setAllowFileAccess(true);     
// 默认设置为true,即允许在 File 域下执行任意 JavaScript 代码
</code></span>

使用 file 域加载的 js代码能够使用进行同源策略跨域访问,从而导致隐私信息泄露

  1. 同源策略跨域访问:对私有目录文件进行访问
  2. 针对 IM 类产品,泄露的是聊天信息、联系人等等
  3. 针对浏览器类软件,泄露的是cookie 信息泄露。

 

如果不允许使用 file 协议,则不会存在上述的威胁;

<span style="color:#000000"><span style="color:#abb2bf"><code><span style="color:#e06c75">webView</span><span style="color:#d19a66">.getSettings</span>()<span style="color:#d19a66">.setAllowFileAccess</span>(<span style="color:#e06c75">true</span>);     </code></span></span>

最终解决方案

  • 对于不需要使用 file 协议的应用,禁用 file 协议;
<span style="color:#000000"><code>// 禁用 file 协议;
setAllowFileAccess(false); 
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileU</code></span>

 

4、弱鸡的一系列ui问题,滚动,滑动,兼容,把网页前端哥们苦不堪言,找Android前端同事投诉,Android同学很无奈,

完全不知道该怎么办。

 

参考:

https://www.jianshu.com/p/d2d4f652029d

https://www.jianshu.com/p/3a345d27cd42

https://blog.csdn.net/yyanjun/article/details/79918326

 

深南大盗
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android webview白屏
相思雨的博客
09-29 3974
众所周知,Android 程序员会遇到一个极其之坑的问题webview 加载h5页面,然后各种遭bb的问题就出来了 1.webview 只显示一部分内容 2.webview显示的图片不正常,巨TM大,或者巨tm小 3.webview上的点击没效果,你mmp的 4... 当遇到这些情况的时候,一般我们会谷歌,然后我们一般会发现这么些解决办法: WebSetting
Android WebViewJS交互全面详解(小结)
08-28
本篇文章将从Android WebViewJS交互的基本概念开始,详细介绍Android WebViewJS交互的各种方式、方法和技术细节,旨在帮助开发者更好地理解和掌握Android WebViewJS交互的技术。 一、Android WebViewJS交互...
Android WebView加载白屏解决方案
sinat_28238111的博客
01-19 1万+
android:id="@+id/web_view"     android:layout_width="match_parent"     android:layout_height="match_parent"     android:layerType="hardware"/> mView = (WebView) findViewById(R.id.web_v
菜鸟的安卓实习之路---webView 跳转白屏问题解决方案
rually的专栏
06-01 4438
今天在使用webview 进行打开网页的时候,遇到了这样的问题:打开页面之后,点击设备的返回键,页面撤销,但是并没有会退到之前我打开网页之前的页面,而是出现了一个空白的屏幕,需要在点击一次返回才能会退到之前的页面,所以这里采用了WebViewClient 这个类,成功解决了上述的问题。 1 private class webClient extends WebViewClient
Vue 项目安全扫描漏洞JS 库版本太低,要求升级 YUI,过程总结
最新发布
Innocence_0的博客
04-16 1355
公司信安部门对项目进行安全扫描,查出一些漏洞,其中有一项要求升级 javascript 框架库(如图):![在这里插入图片描述](https://img-吓得我以为让我把 Vue2 升级成 Vue3。经过一番询问后才知道,是工具包中依赖的 YUI 是存在安全漏洞的版本。
关于ios和android webview调试vue项目的相关问题
gw6601的博客
06-01 942
meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests”> 将http链接提升到https。3、如果本地vue项目是带https的请求,要记得实现https证书验证代理(调试用-证书全部允许,正式环境请按情况处理)3、如果本地vue项目是带https的请求,要记得实现https证书验证代理(调试用-证书全部允许,正式环境请按情况处理)2、wkwebview 请求。2、webview 请求。
解决Android Webview 加载一些网页出现白板现象
wz5779354的博客
05-02 1920
今天写了几个网址的链接,同一个WebView加载,其他几个链接都可以,但有一个就是不行,测试半天最总找到原因: 测试网址,具体如下 山东牧院——http://www.sdmyxy.cn/ 中国猪病网——http://www.zhubing.net/ 中国禽病网——http://www.qinbing.cn/ 中国水产网——http://www.fishfirst.cn/ 中国畜牧网ht
安卓嵌入式混合开发,使用webview加载vue页面,使用keep-alive缓存问题
01-21
在嵌入式开发android app时,使用webview来加载vue开发的web应用,如果只是单纯的使用keep-alive来缓存页面数据。会导致,用户token过期,或是用户退出登录,缓存的页面数据还在,哪怕换个用户登录,页面的数据居然...
Android总结之WebView与Javascript交互(互相调用)
09-01
通过这种方式,AndroidWebView与JavaScript之间的数据交互得以实现,使得开发者可以灵活地结合原生功能与Web页面,创建功能丰富的混合式应用程序。需要注意的是,由于安全原因,自Android 4.2版本起,`...
Android webviewjs的数据交互
08-30
总结来说,Android WebView与JavaScript的数据交互是通过WebView组件和其相关设置、WebViewClient与WebChromeClient的回调,以及JavaScript接口或Bridge机制实现的。这种交互方式极大地扩展了Android应用的功能,...
解析Androidwebviewjs之间的交互
01-20
Android应用开发中,WebView是一个非常重要的组件,它允许开发者在原生应用中嵌入网页内容,...最后,当遇到WebView调用JS出错或滑动时出现闪烁等问题时,应根据具体情况进行调试和优化,确保应用的稳定性和性能。
vue网页实现与微信小程序进行数据通信
哆啦A梦的百宝袋的博客
05-15 3301
微信小程序通过web-view引入vue页面,使双方能够进行数据通信,并存储到微信小程序内部。
解决安卓自带的webview加载前端h5项目白屏时长严重,vue首页加载白屏时间过长,那我让app进入的时候就提前加载网页
Spy003的博客
04-15 5396
描述一下我的情况,我写了一个vue项目,需要嵌在安卓里运行,没想到安卓webview加载vue会这么慢,不知道是哪里出了问题,先介绍一下我的abandon的思路:1、启用本地有缓存就就从缓存中加载,没有缓存就从网络加载的方式,这个缓存模式,仍然阻挡不了第一次没有缓存白屏很久的情况,虽然第一次过后速度会明显加快,但是第一次的慢客户也是不接受的呀,于是这种只是我在开发过程中体验体验了,而且开启了这种缓存模式,vuejs更新也不能更新到缓存,还是要清缓存才行。于是这种方案在提交测试之后就放弃了。预加载、
AndroidVue借助WebView双向通信
weixin_62350313的博客
03-20 4592
借助webview进行原生Androidvue进行交互通信
AndroidWebView与Javascript交互(相互调用参数、传值)
热门推荐
rorntuck7的专栏
12-05 2万+
Android中可以使用WebView加载网页,同时Android端的Java代码可以与网页上的JavaScript代码之间相互调用。 Activity代码:  //在js中调用本地java方法   webView.addJavascriptInterface(new JsInterface(this), "AndroidWebView");   //添加客户端支持   webView.
webview Androidvue.js的交互
qq_41522141的博客
04-04 5485
介绍 本文将实现HTML - JS - Java来完成HTML5端与Android手机间的互访! 代码 交互方式 js调用Android方法 通过WebView的addJavascriptInterface()进行对象映射 通过 WebViewClient 的shouldOverrideUrlLoading ()方法回调拦截 url 通过 WebChromeClient 的onJsAlert()、onJsConfirm()、onJsPrompt()方法回调拦截JS对话框alert()、confirm(
vscode webview集成vue应用踩过的坑
好记性不如烂笔头
05-24 3120
前言 折腾了两天总算解决了,特此记录下问题解决方法。希望可以帮到同样问题的你,接下来进入正题。 期望 通过vscode的webview浏览vue应用 问题 一、vscode的webview浏览vue应用时不显示(白板:如果你没有应用到样式的话) 出现该问题的主要有两个原因导致: 1、vue使用vue-router的history模式打包,生成后的dist需依赖服务才能访问(一般生产环境采用这种方式) 解决方案:变更vue-router的mode为hash模式,打包时vue.config.j
android webview setappcacheenabled,Java WebView.setDrawingCacheEnabled方法代码示例
weixin_42416926的博客
05-26 347
import android.webkit.WebView; //导入方法依赖的package包/类public LightningView(@NonNull Activity activity, @Nullable String url, boolean isIncognito) {BrowserApp.getAppComponent().inject(this);mActivity = act...
android web view缓存,android--------WebView 实现缓存网页数据
weixin_31282885的博客
05-27 1032
WebView中存在着两种缓存:网页数据缓存(存储打开过的页面及资源),H5缓存(即AppCache)。将我们浏览过的网页url已经网页文件(css、图片、js等)保存到数据库表中缓存模式(5种)LOAD_CACHE_ONLY: 不使用网络,只读取本地缓存数据LOAD_DEFAULT: 根据cache-control决定是否从网络上取数据。LOAD_CACHE_NORMAL: API leve...
AndroidWebViewjs 异步交互
06-09
Android中,我们可以通过WebView与JavaScript进行异步交互。具体步骤如下: 1. 在WebView中开启JavaScript支持,通过`setJavaScriptEnabled(true)`来实现。 2. Android与JavaScript之间的交互可以通过WebView...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值