android webview 跨域,实战Webview跨域访问风险

最新推荐文章于 2024-06-06 17:56:54 发布
最新推荐文章于 2024-06-06 17:56:54 发布
阅读量1.6k 收藏
点赞数
文章标签: android webview 跨域
本文探讨了Android WebView跨域安全问题,指出不当配置WebSettings可能导致应用间隔离被打破,攻击者能窃取敏感信息。重点分析了setAllowFileAccess()、setJavaScriptEnabled()、setAllowFileAccessFromFileURLs()、setAllowUniversalAccessFromFileURLs()四个方法的危险性,并阐述了攻击者如何利用这些漏洞。建议开发者严格限制WebView的文件访问和JavaScript执行权限,以防止隐私泄露。
摘要由CSDN通过智能技术生成

漏洞原理:

WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存的配置文件、敏感信息等。

主要利用了android.webkit.WebSettings类中setAllowFileAccess()、setJavaScriptEnabled()、setAllowFileAccessFromFileURLs()、setAllowUniversalAccessFromFileURLs()四个方法配置不当(允许webview使用file协议并允许使用javaScript)的风险,并配合Activity组件暴露漏洞进行攻击。

setAllowFileAccess()

// 启用或禁用Webview中的文件访问,默认是true

webView.getSettings().setAllowFileAccess(true);

setJavaScriptEnabled()

// 设置webview是否启用javascript执行,默认是false,设置为true就是启用javascript执行。

webview.getWebSettings().setJavaScriptEnabled(true);

setAllowFileAccessFromFileURLs()

// 设置是否允许通过 file url 加载的文件中Js代码读取其他的本地文件。

// 需要注意的是如果getAllowUniversalAccessFromFileURLs()的值为true,则此设置的值将被忽略。要启用最严格的安全策略,应该禁用此设置:

webView.getSettings().setAllowFileAccessFromFileU

最低0.47元/天 解锁文章
weixin_39974030
关注
AndroidWebView跨域漏洞分析和应用克隆问题情景还原(免Root获取应用沙盒数据)
编码美丽
04-02 803
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView跨域访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了WebVie
Webview跨域访问风险
weixin_34177064的博客
01-14 1047
漏洞原理:WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存的配置文件、敏感信息等。 主要利用了android.webkit.WebSettings类setAllowFileAccess()、setJavaScriptEnabled()、setAllowF...
webview跨域访问
choutuanjian7045的博客
09-14 760
在loadurl之前使用: try { if (Build.VERSION.SDK_INT >= 16) { Class<?> clazz = tbsContent.getSettings().getClass()...
Android Webview跨域、localStorage数据存储、android原生与js互调
qq_36158551的博客
02-19 4073
不是说上面代码写的是错误的,而是这样写的确有问题, 因为Webview浏览器并未打开找不到localStorage,所以要想解决这个问题就得先打开AndroidWebview浏览器才能找到localStorage。有人问我是不是需要写布局文件,不写行不行,现在我就告诉你们,不写没问题,需要写就写不写直接创建New一个也行。下面我就介绍一个,我new一个Webview实现localStorage。有人问我是不是需要写布局文件,不写行不行,现在我就告诉你们,不写没问题,需要写就写不写直接创建New一个也行。
Android平台WebView控件存在跨域访问高危漏洞
samli的博客
04-08 1803
0x00手工自检: 1. 检查应用是否使用了webview控件; 如下图,WebView webview;定义了webview控件,即使用了webview控件。 2. 若使用了webview控件,则检查内置webview的Activity是否可被导出; 在上图可以看到,内置webview的Activity是MainActivity,查看MainAcitivity是否可导,需要到AndroidM...
android 浏览器跨域,android :webview   解决遇到的跨域问题
weixin_35143514的博客
05-28 1935
class MyWebViewClient1 extends WebChromeClient {@Overridepublic void onProgressChanged(WebView view, int newProgress){setTitle("页面加载,请稍候..." + newProgress + "%");System.out.println("进度" + newProgress...
android webview input=file 失效解决方案
05-24
1. **安全策略限制**:AndroidWebView遵循Chrome的同源策略,不允许跨域访问,包括本地文件系统。出于安全考虑,`input=file`选择文件的API被禁用或限制。 2. **文件选择器缺失**:在一些Android版本,点击`...
AndroidWebView跨域漏洞分析和应用克隆问题情景还原(免Root获取应用沙盒数据)...
编码美丽
04-02 374
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业...
Android 7.0系统webview 显示https页面空白处理方法
08-27
Android 7.0系统webview 显示https页面空白处理方法 在Android 7.0系统webview组件在加载https页面时可能会出现空白处理问题,这是因为webview在加载https页面时需要进行SSL证书验证,如果证书验证失败,...
androidWebView跨域问题
android_seven的博客
04-01 6909
今天公司有个演示需求,用的是webView去加载Html页面,由于项目的服务器其他公司内网地址,因为在公司,无法加载到别人内网上的页面地址,所以要把服务器上的前端页面放到本地加载演示,于是我就问公司前端要了整套界面放到asset目录下,打开了欢迎页之后就加载不出来页面了,由于公司前端较忙,无暇顾及,我便在chrome浏览器里面打开了页面按了F12,开始调试,一看报了个错 一看,原来是页面...
UniApp-WebView页面的请求跨域问题
最新发布
Date_Boy的博客
06-06 657
UniAppWebView组件可以使用本地网页和网络网页。使用本地网页的过程,发送请求,会出现跨域问题,并且通过抓包会发现Origin请求头的值为"null"。请求示例代码// 创建xhr对象// 创建一个 PUT 请求,采用异步// 注册相关事件// 发送请求xhr.send();
webview跨域问题解决方案
热门推荐
yclfdn2004的专栏
05-10 3万+
hi,all      本邮件分六部分:目的、意义、步骤、具体实现及测试办法,调研结论(3点),额外思考 一、调研目的         浏览器的同源策略阻止了跨域访问,本次调研目的就是为了解决这个问题,让客户端可跨域访问其他网站 二、意义:           1、跨域问题的解决,扩展了客户端解决缓存问题的思路,可达到完全控制缓存、较好的利用缓存的目的,从而可利用缓存达到提高H5页面
Android WebView存在跨域访问漏洞(CNVD-2017-36682)介绍及解决
wangxiaowu1986的博客
01-17 1452
安全公告编号:CNTA-2018-0005 2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用
webview 跨域问题
qq_30878303的博客
03-16 1045
package com.my.webviewdemo; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import android.os.Build; import android.os.Bundle; import android.app.Activity; impor
Android WebView跨域访问漏洞
weixin_38031122的博客
02-08 3951
一、漏洞名称Android WebView存在跨域访问漏洞 二、漏洞描述       Android WebView存在跨域访问漏洞。该漏洞产生的原因是由于Android应用WebView开启了file域访问,且允许file域访问http域,未对file域的路径做严格限制所致。攻击者可以利用漏洞,远程获取APP的所有本地敏感数据。 三、漏洞危害攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应...
WebView与JS、Ajax跨域问题
ShareUs的专栏
02-23 8181
webview其实就是一个浏览器,而是否允许跨域,是由你访问的服务器控制的(默认不允许),如果是nginx,配置如下: http { ...... add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Acces
Android webview拦截请求,实现跨域处理
唐诺
11-17 5435
重写WebViewClient 的 shouldInterceptRequest(),拦截请求,实现特殊处理(跨域处理)。例如:拦截旧的url,替换域名,替换参数等,然后使用新url重新发起请求。
webview组件跨域访问风险
05-25
WebView 组件在应用开发经常用于展示第三方网页或者本地 HTML 页面,但是由于 WebView 组件存在跨域访问风险,因此需要注意以下几点: 1. 不要允许 WebView 加载不可信来源的页面,这样可能导致 WebView 可以访问到其他网站的敏感信息。 2. WebView 组件默认允许跨域访问,可以通过设置 WebViewClient 来禁止跨域访问。 3. 如果必须要允许跨域访问,可以通过在服务器端配置 CORS(Cross-Origin Resource Sharing)来限制跨域访问的范围。 4. 避免在 WebView 加载可以执行 JavaScript 代码的页面,因为这可能会导致恶意脚本的执行,从而攻击 WebView。 总之,开发者需要认识到 WebView 组件的跨域访问风险,并采取相应的措施来保障 WebView 组件的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值