解决android4.2以下addJavaScriptInterface不安全问题

最新推荐文章于 2024-07-07 03:14:34 发布
最新推荐文章于 2024-07-07 03:14:34 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gubojun123/article/details/78731958
版权

问题描述

android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞

概述

Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何Java 类,最终导致JavaScript 能力的无限增强。攻击者利用该漏洞可以根据客户端能力为所欲为。

修复方法:
android 4.2以上使用@Javascriptinterface注解标记js需要调用的原生方法
android 4.2以下建议不要使用

webView.addJavascriptInterface(... , ...)
  • 我们项目的修改方式是
    js使用如下代码:
var loadUrl = function(url) {
    var _script= document.createElement("script");
    _script.setAttribute("src", url);
    _script.setAttribute("style", "display:none;");
    _script.setAttribute("height", "0px");
    _script.setAttribute("width", "0px");
    _script.setAttribute("frameborder", "0");
    document.body.appendChild(_script);
    _script.parentNode.removeChild(_script);
    _script= null;
};

js代码添加script标签,导入src,在android原生端我们可以利用

public WebResourceResponse shouldInterceptRequest(WebView view, final String url)

拦截src中加载的内容,src中url的格式为

android://localhost/.../{...}

android是协议名,localhost是主机名,…使用请求action,最后{..}是参数

android端解析代码如下:

@Override
public WebResourceResponse shouldInterceptRequest(WebView view, final String url) {
        Uri uri = Uri.parse(url);
        // 如果 authority  = 预先约定协议里的 localhost,即代表都符合约定的协议
        // 所以拦截url,下面JS开始调用Android需要的方法
        if (uri.getScheme().equals("android")) {
            if (uri.getAuthority().equals("localhost")) {
                String path = uri.toString();
                //解析action
                String action = path.substring(..., path.indexOf("/", ...));
                //解析params
                String params = path.substring(path.lastIndexOf('/') + 1);
                try {
                    ...
                    //执行相关方法
                    //参数如果有中文需要转码
                    URLDecoder.decode(params, "UTF-8")
                } catch (UnsupportedEncodingException e) {
                    e.printStackTrace();
                }
            }
        }
    ...
    return super.shouldInterceptRequest(view, url);
}
gubojun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 连续调用js方法,Android的WebView中的JavascriptInterface:对JS的多次调用会导致死锁...
weixin_30475939的博客
05-25 749
这是我用过的整个Java代码。我将在下面更详细地解释...public class Test7 extends Activity {//debugprivate final static String TAG = "JSInterface";private WebView wv;private class JSInterface {private WebView wv;// Variables t...
跨平台实现基础(二)JavascriptInterface原理和Js和Java交互实践
Tamic (大白)
01-19 2万+
上一篇<JsCore 原理和实践> 本篇介绍android和js通讯的基础核心类 JavascriptInterfaceJavascriptInterfaceandroid系统提供webKit内核的接口,和webView
关于@JavascriptInterface安全限制
u011551179的博客
03-11 760
前几天做webView与安卓的交互,用两个手机测试 4.1的没加上面那句 手机运行没问题 ,换成自己手机后(4.2以后的系统)点击就没有反应,后来才知道安卓4.2以后对于 JavascriptInterface有了安全限制 webView.addJavascriptInterface(new Object){ @JavascriptInterface // 4.2以后必须加这个注解 pu
android4.4中addjavascriptinterface失效的解决办法
冰咖啡的专栏
06-23 3723
最近项目升级到了android4.4,发现其中的addjavascriptinterface失效了,因为之前andriod4.2的时候一直好好的,所以怀疑是升级andriod版本导致的问题,后来查资料得知用addjavascriptinterface映射到javascript的方法必须添加@JavascriptInterface注释,经测试果然成功了,以下是java代码: public clas...
Android开发 JavascriptInterface回调
最新发布
weixin_41028086的博客
07-07 16
如何实现“Android开发 JavascriptInterface回调” 概述 在Android开发中,我们经常需要在Java和JavaScript之间进行通信。通过JavascriptInterface回调机制,我们可以在WebView中调用原生Android代码。本文将指导你如何实现这一功能。 步骤概览 下面是实现“...
Android4.2下 WebView的addJavascriptInterface漏洞解决方案
zhouyongyang621的专栏
07-22 1万+
最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象,然后在JS中可以访问到Native这个对象,就可以调用这个对象的一些方法
Android-Android4.2前后JS与Native安全交互
08-13
Android 4.2版本引入了更完善的机制来支持这种交互,确保了安全性的同时也提供了丰富的功能。本篇将深入探讨在Android 4.2中JS与Native的安全交互方式,以及如何通过两种主要方法实现这一目标。 一、WebView与...
Android中WebView常见问题解决方案汇总
01-20
然而,使用WebView时会遇到一些常见的问题以下是一些问题及其解决方案: 1. **自定义错误显示界面**: 当WebView加载页面失败时,系统默认的错误处理可能不够友好。通过覆写`WebViewClient`中的`onReceivedError...
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞及解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
Android中WebView无法后退和js注入漏洞的解决方案
09-02
对于JavaScript注入漏洞,尤其是在Android 4.2以下版本,WebView的安全性较低,恶意代码可能通过注入JS来操控应用。为了防止这种情况,开发者应启用WebView的安全设置,例如禁用JavaScript执行,或者使用`WebView....
addJavaScriptInterface使用demo
11-30
为了安全起见,从Android 4.2 (API level 17)开始,系统默认禁止了JavaScript直接访问Android对象,以防止XSS攻击。因此,所有暴露给JavaScript的Java方法都需要添加`@JavascriptInterface`注解。 此外,如果你的...
Android-抛弃使用高风险的WebViewaddJavascriptInterface方法通过对js层调用函数及回调函数的包装
08-13
支持异步回调,方法参数支持js所有已知的类型,包括数字,字符串,布尔值,对象,函数。同时还针对WebView的一些常用的方法进行了一定的封装,像返回,刷新,网页中图片保存,是否用系统浏览器进行打开
Android WebView的Js对象注入漏洞解决方案
热门推荐
永远即等待的专栏
09-30 8万+
Android webview注入JS对象引发的安全漏洞,恶意的JS脚本可以读取到SDcard上面的任何文件,本文给出了这种漏洞的一种解决方案。
WebView addJavaScriptInterface接口中的隐患解决办法
qq_34123326的博客
09-12 1128
if(Build.VERSION.SDK_INT>10&&Build.VERSION.SDK_INT17){ fixWebView(); } private void fixWebView(){ wb.removeJavascriptInterface("searchBoxJavaBridge_"); }
Android 4.2版本以下使用WebView组件addJavascriptInterface方法存在JS漏洞
weixin_34346099的博客
09-23 307
JS注入漏洞存在的Android版本Android < 4.2 综述:Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互。这个方法可以通过js脚本在本地执行任意Java代码,从而以当前用户身份执行任意命令。尽管Android官...
WebView addJavascriptInterface接口中的隐忧解决方法
超快递
03-11 5926
我们自己没有添加addJavascriptInterface,甚至默认为false。但是还是有漏洞,因为在低于API17的WebView上默认添加"searchBoxJavaBridge_"到mJavaScriptObjects中。         这样就有可能通过用户信任的客户端获取SD卡的数据。         解决方法有几点:         1. 过滤本地文件的访问: if (!ur
WebView中addJavascriptInterface接口的隐患解决方案
dxcn2015的博客
05-10 5283
我们很多时候要使用WebView来展示一个网页,现在很多应用为了做到服务端可控,很多结果页都是网页的,而不是本地实现,这样做有很多好处,比如界面的改变不需要重新发布新版本,直接在Server端修改就行了。用网页来展示界面,通常情况下都或多或少都与Java代码有交互,比如点击网页上面的一个按钮,我们需要知道这个按钮点击事件,或者我们要调用某个方法,让页面执行某种动作,为了实现这些交互,我们通常都是使
AndroidJavaScript 中的java方法加 @JavascriptInterface的原因分析:
wolfking0608的博客
12-18 7246
代码如下: //js调用安卓代码 private class JavaScriptinterface { private Context mContext; public JavaScriptinterface(Context c) { this.mContext = c; } //获取消费者i
android webview addJavascriptInterface 的方法不能调用
xiealan的专栏
12-04 1万+
以前一直觉着用html5做android app是一件很鸡肋的事(勿喷,请恕小的见识少)。 后来又发现很多大公司做的app中都或多或少的使用了html元素,比如微信、qq之类。 最近在网上闲逛发现一个IDE可以使用纯html js css设计app并发布到多个平台,并且更牛的是可以直接使用它提供的js api调用各种系统原生的api。一时心动下载研究。后来发现也并不是想象中多么神奇的事情。
addjavascriptinterface
04-27
使用addJavaScriptInterface方法有助于解决在WebView中实现JavaScriptAndroid交互的问题,同时也便于实现良好的用户体验。但是,开发者需要注意方法的安全性,避免出现XSS攻击等安全漏洞,确保应用程序的安全性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值