android webview confilm,Android-WebView(四) 实现一个安全的webView

最新推荐文章于 2023-01-05 12:20:25 发布
最新推荐文章于 2023-01-05 12:20:25 发布
阅读量138 收藏
点赞数
文章标签: android webview confilm

正如文章 Android webview(三) addJavascriptInterface的安全问题 中所展示的那样, Android api 17 (Android 4.2)版本之前, 通过WebView.addJavascriptInterface()方法添加的JavaBridge存在安全性风险,那么该怎么避免呢?

js向java通信的渠道--prompt

我们知道js中常用的方法: alert, console.log, prompt的调用都会被webview通过WebChromeClient的相应的回调方法通知Java. 那么我们就可以使用这样的机制来实现js与java的通信.

那为什么选择prompt呢?因为prompt方法除了会提供参数,还期待着一个返回值. 因此可以通过设计将其参数映射为对java类和方法的调用, 而返回值这是java方法的返回值.

参数格式设计

对于参数的设计,常见的有2种方式:

借鉴Url的格式, 将schema映射为java类名, host映射为方法名, 参数部分则直接对应java方法参数.

优点: Url有现成的解析方法, 处理简单

缺点: 这种调用方式不够直观, 对于Url不兼容的字符,得进行Base64等方式的预处理

在js中直接使用java的语法进行调用

优点: 这种方式很直观, 对于特殊字符直接使用\进行转义即可

缺点: 需要自己实现一个简单的词法分析器, 并实现转义处理以及简单的语法分析

java方法调用

当我们解析出要调用的java类名,方法名和参数时, 该如何去调用呢?

很显然是通过反射.不过要注意的是: 不能直接去反射.否则js依然可以直接调用getClass方法.

我们可以借鉴Android的方案: 提供一个annotation, 反射时判断如果该方法拥有这样的annotation就允许执行,否则禁止.

另外一点需要注意的是: 通过Android提供的addJavascriptInterface()方法添加的JavaBridge的方法将在webview管理的子线程中执行,因此要注意保证这些方法是线程安全的, 而通过在onJsPrompt()方法中反射执行我们的java方法将在主线程中运行, 因此不能执行耗时过长的任务.

可以参考 github: SafeWebView的实现

也可以在gradle中添加如下依赖,直接使用:

//gradle 依赖

compile 'com.yyter.web:SafeWebView:1.0.0'

//用于检测提供给js的方法是否合法 (可选,但建议添加)

debugCompile 'com.yyter.web:SafeWebView-buildcheck:1.0.0'

王诗沐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AndroidWebView安全
laymenISmouse的专栏
01-30 766
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
java webview js_GitHub - pedant/safe-java-js-webview-bridge: 为WebView中的Java与JavaScript提供【安全可靠】的多样互通方...
weixin_32535637的博客
02-12 142
Safe Java-JS WebView Bridge抛弃使用高风险的WebView addJavascriptInterface方法,通过对js层调用函数及回调函数的包装,支持异步回调,方法参数支持js所有已知的类型,包括number、string、boolean、object、function。安装使用Safe Java-JS WebView Bridge最简单的办法就是像下面这样添加项目依赖...
通过安全浏览保护 WebView
qq_44005305的博客
01-05 820
今天,我们宣布 Google Play Protect 默认将安全浏览功能引入 WebView,从 2018 年 4 月开始发布 WebView 66。了解有关自定义和控制安全浏览的更多信息,并且您可以通过访问安全浏览测试网址(chrome://safe-browsing/match?WebView 中的安全浏览功能自 Android 8.0(API 级别 26)开始提供,使用了与。自 2007 年以来,Google 安全浏览功能一直在保护整个网络中的用户免遭网络钓鱼和恶意软件攻击。
Android-WebView() 实现一个安全webView
weixin_34192993的博客
05-24 78
2019独角兽企业重金招聘Python工程师标准>>> ...
Android WebView.apk 浏览器内核 com.android.webview
12-15
Android 原生浏览器内核,包名 com.android.webview,内核版本116。 适用版本:Android API 24 及以上版本。 com.android.webview_116.0.5845.163-minAPI24.apk
android-system-webview-7703.apk
11-30
Android8.0以下手机自带的android-system-webview版本过低使用
Android实现WebView删除缓存的方法
01-20
Android开发中,WebView一个非常重要的组件,它允许我们在应用程序中加载和显示网页内容。然而,随着用户浏览的网页数量增加,WebView会积累大量的缓存数据,这些数据占用存储空间并可能影响应用性能。因此,...
Android WebView实现截长图功能
01-20
Android开发中,有时我们需要实现一个功能,让用户能够截取屏幕上的长内容,例如在一个WebView中展示的网页。本文将详细介绍如何在Android中利用WebView实现截取长图的功能。 首先,我们要理解长截图的基本原理。...
Android编程实现WebView自适应全屏方法小结
09-03
Android应用开发中,WebView是用于加载HTML、CSS和JavaScript内容的一个强大组件。有时,我们希望WebView能够自适应屏幕尺寸,以实现全屏显示。本文将深入探讨如何在Android编程中实现WebView的自适应全屏功能,...
android WebView详解,常见漏洞详解和安全源码(下)
wscrf的博客
02-16 1012
WebView 常见漏洞   WebView 的漏洞也是不少,列举一些常见的漏洞,实时更新,如果有其他的常见漏洞,知会一下我~~ WebView 任意代码执行漏洞   已知的 WebView 任意代码执行漏洞有 4 个,较早被公布是 CVE-2012-6636,揭露了 WebView 中 addJavascriptInterface 接口会引起远程代码执行漏洞。接着是 CVE-2013-47
移动安全学习笔记——Intent URL Schema安全
0nc3的博客
03-21 852
0x05 Intent URL Scheme安全 1、漏洞原理 基于Android Browser的攻击手段;利用了浏览器通过web页面启动已安装应用的activity时,由于浏览器对Intent URL的处理不当,恶意用户可以通过js代码进行一些恶意行为。 2、相关知识 Intent schema URL的用法 eg1: <script>location.href="intent:mydata#Intent;action=myaction;type=text/plain;end"&lt
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
Android WebView 全面干货指南
Alpha110710的博客
04-11 1416
本篇内容转自 無名小子的杂货铺https://www.jianshu.com/p/fd61e8f4049e前言总结 Android WebView 常用的相关知识点,令包含以下干货内容分析:Js注入漏洞、WebView 遇到的坑、JsBridge 原理以及框架使用(JsBridge,DSBridge-Android)、缓存机制应用、性能优化、腾讯开源框架 VasSonic (之后会进行代码分析)。...
Android WebView与JavaScript交互(续)
u011160994的专栏
08-06 1006
记得之前写过一个Android WebView与JavaScript交互的文章,记得当时写完还是一阵激动的,完成了老大的交付的任务,就可以~呵呵呵~了,今天一不小心看到了一篇文章中提到用addJavascriptInterface()方法在Android 4.2以前的设备上并不能安全的访问,具体请参见Android WebView的Js对象注入漏洞解决方案这篇博客,里面详细介绍了如何出现漏洞以及漏洞
WebView新增安全功能
听海的博客
06-09 2660
许多应用都使用WebView来处理不受信任的内容,多年来,我们对 Android 进行了许多改进,保护它和您的应用免受侵害。借助 Android Lollipop,我们开始以独立 APK 的形式提供 WebView,每隔六周在 Play 商店中更新一次,从而能够快速进行重要修复。我们在最新版的 WebView 中增加了多项重要的安全升级。 在 Android O 中隔离渲染器进程...
Android Hybrid 学习过程 WebView所有相关类使用说明
z979451341的博客
03-30 1260
因为关于WebView的相关细节还有很多,我就不一一写例子说明,一口气全写出来凭注释说明了 1.WebSetting 用于配置WebVIew的类 WebSettings webSettings = mWebView.getSettings(); if (webSettings == null) return; //设置字体缩放倍数,默认10...
Android:为WebView中的Java与JavaScript的交互漏洞提供【安全可靠】的多样互通方案
CatM的专栏
03-13 1624
Safe Java-JS WebView Bridge 抛弃使用高风险的WebView addJavascriptInterface方法,通过对js层调用函数及回调函数的包装,支持异步回调,方法参数支持js所有已知的类型,包括number、string、boolean、object、function。 安装 使用Safe Java-JS WebView Bridge最简单
Android webview 添加请求头Access-Control-Allow-Origin
最新发布
02-21
Android WebView中添加请求头Access-Control-Allow-Origin可以通过以下步骤实现: 1. 创建一个自定义的WebViewClient类,继承自WebViewClient,并重写shouldOverrideUrlLoading方法。 ```java public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值