1 严格限制包含WebView调用的Activity组件的导出权限,设置所注册组件的“android:exported”属性为false;关闭导出权限或者限制导出组件的发起者。
2 对于功能要求必须导出的Activity组件,手动设置webview
setAllowFileAccessFromFileURLs(false)或
setAllowUniversalAccessFromFileURLs(false)
myWebView.getSettings.setAllowFileAccess(false);
4 如果需要使用File协议,禁止File协议调用JavaScript
如果应用的WebView需要使用File域协议,建议禁止File域协议调用JavaScript:
myWebView.getSettings. setJavaScriptEnabled(false);