WebView与JavaScript交互的一种可行性方案

最新推荐文章于 2023-02-07 17:55:28 发布
最新推荐文章于 2023-02-07 17:55:28 发布
阅读量559 收藏
点赞数
分类专栏: Android开发 文章标签: webview javascript 交互 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lz8362/article/details/53819906
版权

WebView提供的网页和本地交互方式十分简单:
    setJavaScriptEnabled(true);

addJavascriptInterface(Object obj, String interfaceName)PS1;

一个自定义的接口名和一个用来JS调用的方法对象,就可以搭建一个JavaScript桥接接口。当然,简单就意味的着有漏洞,所以才有了后来的反射攻击PS2,android提供的解决方案是在需要JavaScript调用的方法上增加注解@JavaScriptInterface标记,以此来限制JavaScript反射后所能调用的方法。

本地代码如下:

JavaInterface jif;
webView.getSettings().setJavaScriptEnabled(true);
webView.addJavascriptInterface(jif, "testObj");
    /** JS待调用功能集合 */
    public class JavaInterface{
        Context context;
        public JavaInterface(Context context)
        {
            this.context = context;
        }
        @android.webkit.JavascriptInterface
        public void showToast(){
            Toast.makeText(context, "被JavaScript调用的操作", Toast.LENGTH_LONG).show();
        }
    }

网页代码如下,当触发“点击调用按钮”时,便会触发showToast()方法:


虽然在4.2以上使用@JavaScriptInterface(@android.webkit.JavascriptInterface)可以避免反射攻击,但是有时我们难免要去适配低版本的系统,比如4.0,大家在Studio上创建工程时也会注意到,4.0及以上的普及率是98.7%,4.2以下的版本还是有市场占比的。这也意味着我们需要考虑一个万全之策。

 

   我的方案是利用模拟链接弹窗来实现交互。

   大家都知道Intent是如何唤醒电话、浏览器等系统应用的,通过传递一个具有特殊意义的uri地址,其实可以理解为,就是一个双方约定好的特殊字符串。大家在设置WebViewClient时会去重写shouldOverrideUrlLoading方法,来获取页面发起的link链接,这个链接的url是可以获得的。所以,我们可以模仿Intent这种方法,在JavaScript编写时约定好待调用本地方法对应的匹配串,当需要时,以一个伪url地址的形式发起链接,本地在shouldOverrideUrlLoading中对获取的url进行分析,如果是某一本地方法的匹配串,有本地代码来执行,如果不是,就正常加载url。代码如下:

webView.setWebViewClient(new WebViewClient(){
     @Override public boolean shouldOverrideUrlLoading(WebView view,String url)
     {
         // TODO Auto-generated method stub
         Log.w("zheng.li","shouldOverrideUrlLoading:"+url);
         if(url.contains("target:")){
         /**执行相关操作*/
         Toast.makeText(MainActivity.this, "通过识别请求串调用的操作",Toast.LENGTH_LONG).show();
         }else{
         /**继续进行本地加载*/
          view.loadUrl(url);
         }
            return true;
        }
    }); 

网页代码如下:


    这种方法适合实现例如跳转本地页面、跳转第三方页面、本地下载等功能,不适合用来传递参数。当然想要传递参数的话建议加密后挂在匹配串后。

实现数据交互我们需要另外的组件,WebChromeClient提供了获取页面弹窗的方法:

onJsAlert(WebViewview, String url, String message, JsResult result)

Tell the client todisplay a javascript alert dialog. If the client returns true, WebView willassume that the client will handle the dialog. If the client returns false, itwill continue execution.

通知客户端展示一个JS对话框,如果返回true,WebView将允许客户端自行处理这个弹窗,如果返回false,那么继续之后的展示操作。

onJsConfirm(WebViewview, String url, String message, JsResult result)

Tell the client todisplay a confirm dialog to the user. If the client returns true, WebView willassume that the client will handle the confirm dialog and call the appropriateJsResult method. If the client returns false, a default value of false will bereturned to javascript. The default behavior is to return false.

通知客户端展示一个JS确认框,如果返回true,WebView将允许客户端自行处理这个弹窗并适时触发JsResult方法,如果返回false,那么JS脚本将会获得一个专属于false的默认值,默认展示位false状态。

onJsPrompt(WebViewview, String url, String message, String defaultValue, JsPromptResult result)

Tell the client todisplay a prompt dialog to the user. If the client returns true, WebView willassume that the client will handle the prompt dialog and call the appropriateJsPromptResult method. If the client returns false, a default value of falsewill be returned to to javascript. The default behavior is to return false.

通知客户端展示一个JS输入框,如果返回true,WebView将允许客户端自行处理这个弹窗并适时触发JsPromptResult方法,如果返回false,那么JS脚本将会获得一个专属于false的默认值,默认展示位false状态。

结合注解我们发现,三个弹窗都适合用来传递数据,其中onJsPrompt最满足我们的需求,可以根据发送过来的message,提供针对性的返回数据,返回数据类型是字符串。

当我们返回TRUE,弹窗就会被当前的WebView来处理,而不是展示的页面上,入参包含了一个String类型对象,Android将它命名为message,不言而喻这个message就是网页传递给我们的数据,在需要传递参数的地方,通过触发一个alert或者confirm弹窗,将需要的数据传递给本地页面。

如果需要返回参数,通过触发一个prompt弹窗, 将需要的数据传递给本地页面,本地处理完毕后,通过confirm(“返回值”)将数据回传回去。具体代码如下:

webViews.setWebChromeClient(new WebChromeClient(){
      public boolean onJsAlert(WebView view, String url,String message, JsResult result)
            {
                // TODO Auto-generated methodstub
                Log.w("zheng.li","onJsAlert view:"+url);
                Log.w("zheng.li","message:"+message);
                result.confirm();
                return true;
//                returnsuper.onJsAlert(view, url, message, result);
            }
           
      public boolean onJsConfirm(WebView view, String url, String message,JsResult result)
            {
                // TODO Auto-generated methodstub
                Log.w("zheng.li","onJsConfirm view:"+url);
                return super.onJsConfirm(view, url, message,result);
            }
           
      public boolean onJsPrompt(WebView view, Stringurl, String message, String defaultValue,
                    JsPromptResultresult)
            {
                // TODO Auto-generated methodstub
                Log.w("zheng.li","onJsPrompt view:"+url);
                Log.w("zheng.li","message:"+message);
                result.confirm("admin");
                return true;
            }
        });

网页代码如下:

 


这两种方式适用于Android各版本,只是需要双方约定好数据传递规则,可以用作在规范方法之外的辅助使用,毕竟4.0~4.2的时代终将过去,更多的情况下,我们还是按照Google的官方指导办事吧。



最后,在这里祝大家新年快乐,码运昌兴。

 

PS1:addJavascriptInterface这个方法也被所有的安全加固公司热捧,应用源码中出现这个,就意味着有了让你购买服务的借口。

PS2:因为我们在网络上暴漏自己的对象,JavaScript通过interfaceName指向我们的对象obj,就可以利用.getClass().forName(“XXXX”).getMethod().invoke()直接调用用户手机的相关功能,有兴趣的同学可以阅读这篇文章http://www.tuicool.com/articles/jeYVFrN

 

冷漠的学徒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android基础—WebView和JavaScrip交互基础
此博客已停用,博文会逐渐转移到新地址,http://blog.csdn.net/liupeifeng3514
04-07 296
本节引言: 在上一节中我们对AndroidWebView(网页视图)进行了学习,相信已经了解了WebView的基本用法; 而本节我们要学习的就是通过:HTML -> JS ->Java来完成HTML5端与Android手机间的 互访!好的,话不多说,有吗有真相,让我们通过编写代码来体验这种微妙的联系吧~ PS:为了方便,本节用到的HTML都是以文件的形式放到assets目录
谈谈JS分层架构的可行性
pippe的专栏
03-28 1329
    相信大家都很熟识成熟的.net三层架构,这种架构带来的好处是不言而喻的。    JS作为辅助客户端语言,一直不受重视,写法大都很散乱,直到web2.0的提出,作为主要执行手段的JS逐渐受重视,随着代码段的加长,带来的是可读性,管理性上的冗杂。    JS作为弱类型解析语言,没有很完整的面向对象理念,但是并不代表JS不支持面向对象。而对JS以类及对象的方式进行业务及功能上的分层是完全
Android WebViewjavaScript交互
sanshan_star的博客
11-29 216
操作前提 webview.getSettings().setJavaScriptEnabled(true); 通过webView调用JavaScript方法 webView.loadUrl("javascript:METHOD") 或者 webView.evaluateJavaScript("javascript:METHOD",CallBack) //只能在4.4以上调用,效率高,能拿到返回结...
JavaScript V8做为脚本引擎的可行性
逍遥剑客
05-16 3271
<br />JavaScript V8的速度一流, 这里有个对比:http://shootout.alioth.debian.org/<br />PC上没有问题, V8的接口很全, 本身就是C++的, 很好集成<br />问题出在iOS和PowerPC上<br /> <br />见: http://blog.owned.co.za/?p=327<br />大体的意思如下:<br />iOS有个限制: 可写的内存不能标记为可执行的(Writable memory cannot be flagged as ex
WebView和JavaScrip交互基础
android开发笔记
05-24 248
本节引言: 在上一节中我们对AndroidWebView(网页视图)进行了学习,相信已经了解了WebView的基本用法; 而本节我们要学习的就是通过:HTML->JS->Java来完成HTML5端与Android手机间的 互访!好的,话不多说,有吗有真相,让我们通过编写代码来体验这种微妙的联系吧~ PS:为了方便,本节用到的HTML都是以文件的形式放到assets目录下...
安卓Android源码——Android调用JavaScript.zip
10-13
在Java代码中,我们可以创建一个`WebView`对象,并设置`WebViewClient`和`WebChromeClient`来处理页面加载和JavaScript交互。 1. **WebView的使用**: - 初始化`WebView`:在XML布局文件中添加`WebView`组件,或者...
ios-webView隐藏HTML网页的某些不需要的模块.zip
07-11
当UIWebView加载完成时,它会调用JavaScript代码或者通过`UIWebViewDelegate`协议的方法与应用程序进行交互。 要隐藏HTML网页中的特定模块,主要有两种方法: 1. **JavaScript注入**:通过UIWebView的`...
iOS 中设置 UIWebView & WKWebView 的 Debug 控制台
04-06
除了基础的控制台功能,WBWebViewConsole还可能提供了一些扩展功能,例如自定义日志级别过滤,或者添加额外的JavaScript接口与原生代码交互。这些特性使得WBWebViewConsole成为一个强大的辅助工具,尤其是在复杂的...
Android PhoneGap简析
02-21
PhoneGap的可行性在于WebView支持JavaScript与本地环境的交互。通过WebView,我们可以加载HTML页面,并在JavaScript中调用Android原生API。例如,以下Java代码展示了如何设置WebView并启用JavaScript: ```java ...
android 显示gif图片实例详解
09-01
在本例中,我们展示了如何使用WebView加载`assets`目录下的GIF文件,为那些需要在App中显示简单GIF动画的开发者提供了一个可行的解决方案。当然,根据具体需求,开发者也可以选择其他更高级的库来实现更高效、更灵活...
讨论: TDD in HTML & JavaScript可行性和最佳实践
Teddy's Knowledge Base
07-11 2714
题外话<br />昨天就想发起这个话题的讨论,只是觉得对于讨论的支持,博客园现有的功能天然似乎还不能很好的支持。所以有了突然发现想在博客园发起一个有价值的讨论其实很难一文。亚历山大同志提到“博客园的讨论需要发起争议性话题,比如 .net sucks之类”。回顾如关于近期C#大论战的回应这样的近期引起讨论的焦点话题,貌似确实如此。深以为叹。近期的C#大论战是幸运的,尽管中间还是参杂了很多口水,李建忠老师的加入,一定程度上最终将话题引向了正确的方向。幸哉。我这个围观群众也从中获益良多。不仅仅是对于这个技术话题正
每天记录学习的新知识 : WebView的配置WebSettings
嗯...
04-02 1951
Android 8.0 开始,WebView 中即已经集成安全浏览功能,并且与 Android 版的 Chrome 采用相同的底层技术。WebView 的安全浏览,是依赖于 Google Play 和 Chrome 更新的,也就是说,虽然你的设备是 Android 8.0,但是此策略也是有可能没有生效的。当值为true且页面包含viewport标记,将使用标签指定的宽度。设置值为true时,布局的宽度总是与WebView控件上的设备无关像素(device-dependent pixels)宽度一致。...
Android WebView setJavaScriptEnabled
oOshuierOo的专栏
10-29 4571
WebView webView = new WebView(context);         WebSettings webSettings = webView.getSettings();         //webSettings.setJavaScriptEnabled(true);         webView.loadUrl(url);
WebView使用漏洞
qq_39431405的博客
02-07 871
webview使用漏洞
WebView交互架构项目实战(三),一年后斩获腾讯T3
m0_64383736的博客
12-09 794
jsStr = JsjjJSHelper.getResInputStream(url); if (url.endsWith(".png")) { response = getWebResourceResponse(url, “image/png”, “.png”); } else if (url.endsWith(".gif")) { response = getWebResourceResponse(url, “image/gif”, “.gif”); } else if (url.endsWith(".
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
webview代码实例化_WebView常用类和基本方法详解
weixin_35586996的博客
01-26 390
上一篇文章我们实现了一个简单的WebView,并且能够在程序中的不调用浏览器进行网页的展示和浏览,AndroidWebView提供了一些子类,其子类下的方法能够让我们的WebView功能更加完善、性能更加的强大,接下来我们就一起来学习WebView常用的三大子类。WebView三大子类:WebSettings:主要是对WebView进行管理配置WebViewClient:处理请求、通知...
AndroidJavaScript 互调
IT小蔡的博客
01-04 326
做混合开发的同学,肯定了解 Android 与JS互调,本文只是AndroidJavaScript 互调的简单使用,大神请忽略。 阅读完本文,你应该可以学会,如何通过Android调用JS方法,JS调用Android的方法。 Android代码 @SuppressLint("SetJavaScriptEnabled") public class MainActivity extends
webview与js交互
最新发布
05-26
WebViewJavaScript交互是常见的需求,主要有以下几种方式: 1. 通过 WebView 中的 loadUrl() 方法调用 JavaScript 函数。 可以使用 WebView 的 loadUrl() 方法加载一个包含 JavaScript 代码的 URL,实现与 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值