WebView注入Java对象注意事项

在android4.2以前，注入步骤如下：

webview.getSetting().setJavaScriptEnable(true);
class JsObject {
public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");

Android4.2及以后，注入步骤如下：

webview.getSetting().setJavaScriptEnable(true);
class JsObject {
@JavascriptInterface
public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");

发现区别没？4.2之前向webview注入的对象所暴露的接口toString没有注释语句@JavascriptInterface，而4.2及以后的则多了注释语句@JavascriptInterface
经过查官方文档所知，因为这个接口允许JavaScript 控制宿主应用程序，这是个很强大的特性，但同时，在4.2的版本前存在重大安全隐患，因为JavaScript 可以使用反射访问注入webview的Java对象的public fields，在一个包含不信任内容的WebView中使用这个方法，会允许攻击者去篡改宿主应用程序，使用宿主应用程序的权限执行java代码。因此4.2以后，任何为JS暴露的接口，都需要加
@JavascriptInterface
注释，这样，这个Java对象的fields 将不允许被JS访问。