Webview 和js之间安全交互

最新推荐文章于 2024-03-10 09:25:40 发布
最新推荐文章于 2024-03-10 09:25:40 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 【Android应用开发】 文章标签: webview js android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccj659/article/details/51822607
版权

当我们在混合开发的时候,会用h5和原生进行hybrid开发,自然而然,会运用到js和 原生之间的交互问题. 比如,登录界面的交互等.

接下来,来给大家介绍

1.js调用android的方法

1.1.开启webview的JavaScript的权限.

WebView myWebView = (WebView) findViewById(R.id.webview);

WebSettings webSettings = myWebView.getSettings();

webSettings.setJavaScriptEnabled(true);

 

1.2 编写JavaScript与Android 的交互接口.

在JS和Android代码间绑定一个新的接口,这里的MyJavascriptInterface,它不是一个接口 而一个类, 是java代码和js之间通信的桥梁, 在这类里面 编写js调用的方法.要注意的有两点, 

第一点.Android 4.1,API 17开始,只有被JavascriptInterface 注解标识的公有方法可以被JS代码访问;注意这个方法可以让JS代码控制宿主程序,这是一个非常有力的特性,但是同时也存在一些安全问题,因为进一步JS代码可以通过反射访问到注入对象的公有域。攻击者可能会在HTML和JavaScript中包含了有威胁性的代码。

第二点.与JS代码绑定的的这个Java对象运行在另一个线程中,与创建它的线程不是一个线程。所以当涉及到更新UI的操作时候,需要runOnUIThread.

 

/**
 * app js之间的桥梁
 *只有被JavascriptInterface注解标识的公有方法可以被JS代码访问。
 */

public  class MyJavascriptInterface {
    private Context context;
    public MyJavascriptInterface(Context context) {
        this.context=context;
    }
    @JavascriptInterface
    public voidshowToast(finalString toast) {
        Toast.makeText(context,toast,Toast.LENGTH_SHORT).show();
    }
    /**
     * 由于webviewUI线程不是同一个,所以更新UI应该在主线程中更新
     *@parammesg
     */
    @JavascriptInterface
    public voidshowDialog(String mesg) {
        runOnUiThread(new Runnable() {
            @Override
            public voidrun() {
                AlertDialog.Builder builder =newAlertDialog.Builder(context);
                builder.setMessage("this Dialog is from js");
                builder.show();
            }
        });
    }

}

 

1.3 绑定JavaScript与Android 的交互接口.

在绑定MyJavascriptInterface 和webview的时候,需要重写WebChromeClient中的onJsAlert方法.

//如果不设置chrome handlerJS代码中的按钮会显示,但是按下去却不弹出对话框
//但是如果按照
webview.setWebChromeClient(newWebChromeClient()
{
    @Override
    public booleanonJsAlert(WebView view, String url, String message, JsResult result)
    {
        return super.onJsAlert(view, url, message, result);
    }

});
// assets目录下面的加载html
webview.loadUrl("file:///android_asset/test.html");
//绑定接口
webview.addJavascriptInterface(newMyJavascriptInterface(this),"test");

 

1.4 绑定html文件中的事件

在assets下的test.html(新建的)下,

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type"    content="text/html;charset=gb2312">
    <script type="text/javascript">
        function showAndroidDialog(msg){
        test.showDialog(msg);
       }
</script>
</head>
<body>
<!--JS调用android native方法有两种-->
<!--调用方法一:当设置chrome handler,可采用如下方法,即 用JavaScript方法 调用android native方法-->
<input id="dialog"type="button"value="dialog"οnclick="showAndroidDialog('hellow')"/>

<!--调用方法二:当没有设置chrome handler,可采用window.addJavascriptInterface别名.方法名 js调用android native 方法
    (此处的test,请看java文件中JavascriptInterface的别名)-->
<a οnclick=" window.test.showToast('hellow')">window show toast</a>
</body>
</html>

 

5.编译运行,即可.

 

 

 

 

2.android 调用js的方法

调用的时候只需要一行代码,

    webview.getSettings().setJavaScriptEnabled(true);
    //想要android调用js方法,需要重写onjsAlert方法.

    webview.setWebChromeClient(newWebChromeClient() {
        @Override
        public booleanonJsAlert(WebView view, String url, String message,finalandroid.webkit.JsResult result)
        {
            new AlertDialog.Builder(AndroidCallJSActivity.this)
                    .setTitle("javaScript dialog")
                    .setMessage(message)
                    .setPositiveButton(android.R.string.ok,
                            new AlertDialog.OnClickListener()
                            {
                                public voidonClick(DialogInterface dialog,intwhich)
                                {
                                    result.confirm();
                                }
                            })
                    .setCancelable(false)
                    .create()
                    .show();

            return true;
        };
    });
    webview.loadUrl("file:///android_asset/androidtojs.html");
}

@OnClick(R.id.button1)
public void onClick() {
    // Android代码调用JavaScript函数:
    webview.loadUrl("javascript:myFunction()");
    // 这里实现的效果和在网页中点击第一个按钮的效果一致
}

 

Html文件如下,

<html>
<head>
    <h1>
        This is a HTML Page
    </h1>
    <!-- JavaScript脚本,主要包括了按钮要执行的函数,显示对话框等-->
    <scriptlanguage="javascript"type="text/javascript">
    //JavaScript方法,弹出对话框显示信息
    function myFunction()
    {
        alert("Hello World!");
    }
    function onAlert()
    {
        console.log("onAlert method");//显示调试信息
        alert("This is a alert sample from html");
    }
    function onConfirm()
    {
        console.log("onConfirm method");
        var b = confirm("are you sure to login?");
        alert("your choice is " + b);
    }
    function onPrompt()
    {
        console.log("onPrompt method");
        var b = prompt("please input your password", "aaa");
        alert("your input is " + b);
    }

</script>
</head>
<body>

<p>
    <!--四个按钮调用JS函数-->
    JavaScript函数调用 <br/>
    <button οnclick="myFunction()">点击这里!</button>
    <br />
    <input type="button"value="alert"οnclick="onAlert()"/> <br />
    <input type="button"value="confirm"οnclick="onConfirm()"/> <br />
    <input type="button"value="prompt"οnclick="onPrompt()"/><br/>

</p>


</body>
</html>

 

 

总结一下,webview 和js之间的交互,需要注意三点:

1.注意重写其中的方法.

2.注意添加注解 @JavascriptInterface

3.注意webview进行的线程和 UI进行的线程,不是同一个.

 

这里只是给大家简要介绍其中的用法,加载网页等并没有提及.关于webview的更深入的文章,请大家自行下载webview学习资料

http://download.csdn.net/detail/ccj659/9567080

代码下载地址 https://git.oschina.net/ccj659git/WebviewJs.git

NullPoints
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
webViewjs交互
chenkai19920410的专栏
01-07 641
上一篇中将到了webView的基本使用,其实在AndroidwebView的使用非常的多,通过webView我们可以很方便的进行与js交互。这样有利于进行混合编程。那么我们是怎么通过webViewjs交互的呢。          第一:程序Java调用js代码              在程序中调用js代码,只需要将webview控件的支持js的属性设置为true,然后通过loadUr
webviewjs交互
cency_chen的博客
01-26 382
swift,webviewjs交互
前端 JS 安全对抗原理与实践
最新发布
Innocence_0的博客
03-10 950
如今这个时代,数据已经变得越来越重要,网页和APP是主流的数据载体,如果获取数据的接口没有设置任何的保护措施的话,数据就会被轻易地窃取或篡改。除了数据泄露外,一些重要功能的接口如果没有做好保护措施也会被恶意调用造成DDoS、条件竞争等攻击效果,比如如下几个场景:![图片](https://img-一些营销活动类的Web页面,领红包、领券、投票、抽奖等活动方式很常见。此类活动对于普通用户来说应该是“拼手气”,而对于非正常用户来说,可以通过直接刷活动API接口的这种“作弊”方式来提升“手气”。
java webview js 安全_Android Webview Java和Javascript安全交互
weixin_29800319的博客
02-24 157
最近要对一个网页的源代码进行检测,Android Webview中没有直接获取网页源代码的接口,传统的addJavascriptInterface方法存在安全隐患,所以研究了一下Java和Javascript的安全交互Android Webview漏洞Android Webview有两个非常知名的漏洞:最近爆出来的UXSS漏洞,可以越过同源策略,获得任意网页的Cookie等信息,Android ...
Android Webview Java和Javascript安全交互
七号座先生的博客
08-24 1797
最近项目中要获取网页页面源代码的参数,传统的addJavascriptInterface 方法存在一定的安全隐患,所以研究一下Java 和JavaScrip的安全交互Android Webview漏洞① 成名已久的任意命令执行漏洞,通过addJavascriptInterface方法,Js可以调用Java对象方法,通过反射机制,Js可以直接获取Runtime,从而执行任意命令。Android 4.
webview中java与js安全交互
04-08
webview中java与js安全交互 webview中java与js安全交互 webview中java与js安全交互 webview中java与js安全交互
android WebViewJS交互以及需要注意问题
VIPqiangqiang的专栏
11-17 794
  1.android中利用webview调用的js代码。 Android 中可以通过webview来实现和js交互,在程序中调用js代码,只需要将webview控件的支持js的属性设置为true,,然后通过loadUrl就可以直接进行调用,如下所示: mWebView.getSettings().setJavaScriptEnabled(true); 方法1:mWebView.load...
Androidwebviewjs之间交互调用
08-16
android 4.4 之后的版本,由于Android安全机制的升级,js注入漏洞解决方案,导致之前JSAndroid交互的方法失效了,该demo很好的解决了最新版本Androidjs之间互相调用的问题,支持最新的Android版本调用,包括华为...
解析Androidwebviewjs之间交互
01-20
在实际应用中,使用WebView和JavaScript交互不仅可以实现用户界面的动态更新,还可以进行数据交换、触发原生功能(如访问本地文件、播放视频等)等复杂操作。然而,需要注意的是,由于安全原因,自Android 4.2(API...
androidWebView和javascript实现数据交互实例
10-25
主要介绍了androidWebView和javascript实现数据交互实例,需要的朋友可以参考下
WinForm下WebView2实现JS与C#交互Demo
03-02
本示例“WinForm下WebView2实现JS与C#交互Demo”就展示了如何在C#中使用WebView2控件来实现JavaScript与C#之间的双向通信。 首先,确保已安装Microsoft Edge WebView2 SDK。可以通过NuGet包管理器安装`Microsoft....
Android WebView安全问题
Devil不加V
05-11 3106
Android安全问题(WebView) 因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了webview+html混合开发,因此,需要解决一些webview相关的问题: 一、webview隐藏接口问题(任意命令执行漏洞) android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,恶意程序可以通过反射机制利用它们实现远程代码执行;该问题
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 898
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android WebView 中 addJavascriptInterface 接口无效问题
wangjia55的专栏
03-16 6227
转自:http://www.jianshu.com/p/2b9ed6aa13ec Java 与 Javascript 交互 最近遇到这样一个需求,Android 程序中需要使用 WebView 来加载一个网页,而这个网页会根据请求的参数正确与否返回不同的内容。当请求参数正确,则返回正常显示的 HTML 页面。如果请求参数错误,直接返回 json。 所以,我们必须通过 WebV
Android调用js安全问题,Android应用中的JavaScript使用模式及其安全漏洞分析
weixin_39526651的博客
05-27 320
摘要:近年来,Android应用中的安全漏洞迅速增长.由于大部分Android应用需要访问Web页面,导致JavaScript相关的安全漏洞占据了这些安全漏洞的40%,严重威胁到用户的隐私安全.然而,目前业界对于Android应用中JavaScript安全漏洞的研究存在三点不足:一是没有全面研究所有类型JavaScript安全漏洞的形成原因和攻击方式;二是没有调研Android应用中JavaScr...
如何在WebView中让JS与Java安全地相互调用
idaretobe的专栏
09-09 1051
在现在安卓应用原生开发中,为了追求开发的效率以及移植的便利性,使用WebView作为业务内容展示与交互的主要载体是个不错的折中方案。那么在这种Hybrid(混合式) App中,难免就会遇到页面JS需要与Java相互调用,调用Java方法去做那部分网页JS不能完成的功能。 网上的方法可以告诉我们这个时候我们可以使用addjavascriptInterface来注入原生接口到JS中,但是在安卓4
AndroidWebViewJavascriptBridge实现JS与java安全交互
alwaysGoalong的博客
09-04 3757
WebViewJavascriptBridge是WebViewJs交互通信的桥梁,用作者的话来说就是实现java和js的互相调用的桥梁,替代了WebView的自带的JavascriptInterface的接口,使得开发者更方便的让jsnative灵活交互,使我们的开发更加灵活和安全
androidjs交互,以及webview漏洞修复问题
Gudio的博客
03-08 648
webview 使用记录
安卓webviewjs+html交互利用的addJavascriptInterface和webview.loadUrl("javascript:**");
热门推荐
yung7086的机器人锤炼
06-26 6万+
安卓webviewjs+html动态添加数据实现交互
详解Android WebView:集成与JS交互方法
掌握Android WebView的使用方法和JavaScript交互调用,对于开发出功能完善且性能良好的Android应用至关重要。通过灵活运用这些技术,开发者能够创建出既具备原生体验又具有丰富功能的Web界面,极大地提升了应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值