java webview js 安全_Android Webview Java和Javascript安全交互

最新推荐文章于 2021-05-11 18:18:12 发布
最新推荐文章于 2021-05-11 18:18:12 发布
阅读量148 收藏
点赞数
文章标签: java webview js 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29800319/article/details/114564262
版权

最近要对一个网页的源代码进行检测,Android Webview中没有直接获取网页源代码的接口,传统的addJavascriptInterface方法存在安全隐患,所以研究了一下Java和Javascript的安全交互。

Android Webview漏洞

Android Webview有两个非常知名的漏洞:

最近爆出来的UXSS漏洞,可以越过同源策略,获得任意网页的Cookie等信息,Android 4.4以下都有此问题,基本无解,只能重新编译浏览器内核解决,详情可以参考最近移动安全三两事,感兴趣的可以去看一下@RAyH4c劫持微博、QQ空间的视频。

成名已久的任意命令执行漏洞,通过addJavascriptInterface方法,Js可以调用Java对象方法,通过反射机制,Js可以直接获取Runtime,从而执行任意命令。Android 4.2以上,可以通过声明@JavascriptInterface保证安全性,4.2以下不能再调用addJavascriptInterface,需要另谋他法。

Java和Javascript安全交互

首先要说明几点:

1.Android Webview中Java调用Js方法很容易,loadUrl("javascript:isOk()")就可以调用isOk这个Js方法,但不能直接获取Js方法的返回结果。

classJsObject {

@JavascriptInterface

publicString toString() {return"injectedObject"; }

}

webView.addJavascriptInterface(newJsObject(),"injectedObject");

webView.loadData("","text/html",null);

webView.loadUrl("javascript:alert(injectedObject.toString())");

2.传统的方法中,Js获取Java信息可以采用如下方式:

importandroid.app.Activity;

importandroid.graphics.Bitmap;

importandroid.os.Bundle;

importandroid.util.Log;

importandroid.webkit.WebView;

importandroid.webkit.WebViewClient;

publicclassHtmlSourceextendsActivity {

privateWebView webView;

@Override

publicvoidonCreate(Bundle savedInstanceState) {

super.onCreate(savedInstanceState);

setContentView(R.layout.main);

webView = (WebView)findViewById(R.id.webview);

webView.getSettings().setJavaScriptEnabled(true);

webView.addJavascriptInterface(newInJavaScriptLocalObj(),"local_obj");

webView.setWebViewClient(newMyWebViewClient());

webView.loadUrl("http://www.cnblogs.com/hibraincol/");

}

finalclassMyWebViewClientextendsWebViewClient{

publicbooleanshouldOverrideUrlLoading(WebView view, String url) {

view.loadUrl(url);

returntrue;

}

publicvoidonPageStarted(WebView view, String url, Bitmap favicon) {

Log.d("WebView","onPageStarted");

super.onPageStarted(view, url, favicon);

}

publicvoidonPageFinished(WebView view, String url) {

Log.d("WebView","onPageFinished ");

view.loadUrl("javascript:window.local_obj.showSource('

'+"+

"document.getElementsByTagName('html')[0].innerHTML+'');");

super.onPageFinished(view, url);

}

}

finalclassInJavaScriptLocalObj {

publicvoidshowSource(String html) {

Log.d("HTML", html);

}

}

}

3.当网页中有超链接跳转时,将会调用WebClient的shouldOverrideUrlLoading方法,若设置 WebViewClient 且该方法返回 true,则说明由应用的代码处理该 url,WebView 不处理,就可以达到拦截跳转的效果。

明白了上面几点,我们可以总结出一个比较安全的Java和Js交互方式:

可以借鉴Android Intent的思路,Java和Js定义一个url格式如js://_,Java调用Js方法,在Js方法中通过window.location.href='js://_?key=value#key1=value1'模拟跳转,被Java的shouldOverrideUrlLoading捕获,函数的返回值可以放在url的参数中。(Js调用Java方法原理相同)

这样的交互方式是异步的,如果你想知道调用一个Js方法是否返回了值怎么办?一般Java调用Js方法是在onPageFinished方法中,获得Js返回值是在shouldOverrideUrlLoading方法中,两个方法有个共同的参数webview,所以可以首先webview.setTag(false),如果捕获到返回结果,则webview.setTag(true),postDelayed在很短时间比如300毫秒后,webview.getTag()检查是否有变化即可。

【编辑推荐】

【责任编辑:闫佳明 TEL:(010)68476606】

点赞 0

张崇子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebView基本的jsjava相互调用
02-14
简单实现了WebViewjs调用Android以及Androidjs的调用
java webview js 安全_Android WebView 安全
weixin_42502643的博客
02-24 170
Android原生与Html交互方式Java调用Js方式1WebView wv = new WebView(getAppclicationContext());wv.getSettings().setJavaScriptEnabled(true);wv.loadUrl("javascript:funcName()");方式2(API >= 19)WebView wv = new WebVie...
Android中的WebView组件安全
nextdoor6的博客
08-23 2893
WebView组件介绍和使用 第一部分 WebView组件远程代码执行漏洞 第二部分 WebView绕过证书校验漏洞 第三部分 WebView明文存储密码风险 WebView组件系统隐藏接口漏洞 WebView File域同源策略绕过 WebView外部URl可控
Android 4.2中对WebView.addJavascriptInterface()的修改
weixin_33699914的博客
08-05 59
2019独角兽企业重金招聘Python工程师标准>>> ...
java解决webview,Android高级进阶:WebView javaJavaScript交互详解
weixin_32203421的博客
03-16 307
手把手教小白实现WebViewjavajs交互java调用js方法一:效果图:java调用js.pngshopping.htmlTitle// Android需要调用的方法function callJS(){alert("Android调用了JS的callJS方法");}WebView第一步:在assets目录中添加shopping.html文件。第二步:在activity中加载WebVi...
Android WebView上实现JavaScriptJava交互
10-22
主要介绍了Android WebView上实现JavaScriptJava交互 的相关资料,需要的朋友可以参考下
androidWebViewjavascript实现数据交互实例
10-25
主要介绍了androidWebViewjavascript实现数据交互实例,需要的朋友可以参考下
Androidwebviewjs之间的交互调用
最新发布
08-16
android 4.4 之后的版本,由于Android安全机制的升级,js注入漏洞解决方案,导致之前JSAndroid交互的方法失效了,该demo很好的解决了最新版本Androidjs之间互相调用的问题,支持最新的Android版本调用,包括华为...
androidwebview控件和javascript交互实例
10-25
主要介绍了androidwebview控件和javascript交互实例,例子中包括javascript调用java的方法,java代码中调用javascript的方法,需要的朋友可以参考下
Android 2.3 WebView AddJavascriptInterface解决办法
happyrabbit456的专栏
09-24 1637
如果你也遇到跟我一样的问题,那么你比我幸运,因为你来到了这里。 至于为什么WebView AddJavascriptInterface在Android 2.3的无法工作,这个无从深究。Google也没有去修复这个问题(当然其他版本不存在这个问题)。 接下来,我们来探讨下解决办法: 1.检测是否支持AddJavascriptInterface 在onCreate方法中,检测是
Android WebView addJavascriptInterface无效原因
mengzhengjie的专栏
05-29 1102
http://blog.csdn.net/zboyco/article/details/39669305 今天再写Android WebView 的时候,发现addJavascriptInterface里面的方法在JS里无法被调用,折腾了一个中午,才发现是因为在Android4.2以后,为了安全问题,需要在方法前加入“@JavascriptInterface”注解。 如下:
Android WebViewJSJava交互
YellowStar5
09-12 584
一般我们会定义一个内部类,方便获取外部类的信息以便传递给JS使用或者是将JS运行得到的值回传给Java代码以便在界面上实现更好的更新或者直接通过Java代码发送给服务器。 由于近期使用到高德地图的H5定位,这里以他为例好了。 1.WebSettings webSettings = webView.getSettings(); // 重要的一句,允许webview执行javaScript
Android Webview Js交互遇到的坑!!!
t1334311578的博客
12-22 8606
最近研究了一下webviewjs交互问题,遇到了各种坑。现在就遇到的坑进行讲解一下,避免其他盆友遇到同样的坑不知所挫。1.需求:修改html中控件内容的值,如登录界面的用户名与密码自动输入问题。初始解决方法:通过webview设置webviewClient,并重新onpagefinished()方法,该方法在页面加载完成后会调用,进行js注入还必须设置支持javascript脚本webView.
androidwebview使用
xiangjai的专栏
12-17 1万+
WebView使用 使用中遇到的问题: 1、解决webview缓存: WebSettings.LOAD_NO_CACHE   或者直接清除缓存 2、解决webview无法弹出alert: WebChromeClient中重写onJsAlert方法 3、解决webview获取网页内容“: addJavascriptInterface(new InJavaScriptLocalOb
Android4.2下 WebView的addJavascriptInterface漏洞解决方案
热门推荐
zhouyongyang621的专栏
07-22 1万+
最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象,然后在JS中可以访问到Native这个对象,就可以调用这个对象的一些方法
android混合开发,webviewjavajs互操作
zidafone的博客
12-09 479
android原生应用,用webview加载应用中的网页,并且java代码与js代码可以互相操作。 这是混合开发的基石,最基本也最重要的东西,实验代码在这里。 概括说说—— javajs:调用webView.load("javascript:someFunction()"); 这样可以调用webView里页面上的全局方法。这不是什么新鲜东西,你在网页中也可以这么做,试试在浏览器地址栏输入
Webviewjs之间安全交互
Chauncey的博客
07-04 1239
当我们在混合开发的时候,会用h5和原生进行hybrid开发,自然而然,会运用到js和 原生之间的交互问题. 比如,登录界面的交互等. 接下来,来给大家介绍 1.js调用android的方法 1.1.开启webviewJavaScript的权限. WebView myWebView = (WebView) findViewById(R.id.webview); WebSettings
Android WebView安全问题
Devil不加V
05-11 3007
Android安全问题(WebView) 因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了webview+html混合开发,因此,需要解决一些webview相关的问题: 一、webview隐藏接口问题(任意命令执行漏洞) android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,恶意程序可以通过反射机制利用它们实现远程代码执行;该问题
AndroidWebViewJavascriptBridge实现JSjava安全交互
alwaysGoalong的博客
09-04 3724
WebViewJavascriptBridge是WebViewJs交互通信的桥梁,用作者的话来说就是实现javajs的互相调用的桥梁,替代了WebView的自带的JavascriptInterface的接口,使得开发者更方便的让js和native灵活交互,使我们的开发更加灵活和安全
com.android.webview:webview_service 作用
07-27
2. JavaScript交互WebView服务允许应用程序与加载的网页进行JavaScript交互。应用程序可以通过WebView提供的接口与网页进行通信,传递数据或执行JavaScript代码。 3. 媒体播放:WebView可以播放网页中包含的音频...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值