webview开发中的问题

主要包括两类：适配、安全

适配

1、在Android4.4以下，系统Webview底层实现是采用WebKit内核，而在Android4.4及以上采用了chromium内核，不用系统版本使用WebKit或chromium内核的版本也不一致。常见的问题：html渲染效果不一致、js与android交互方式不一致、部分功能和api的使用也不同

html渲染效果不一致：不同内核，h5标签和css展示效果不一致

部分功能和api的使用也不同：

        1、在Android5.0以上默认是不能http和https混合访问：

        配置混合模式，WebSettings.MIXED_CONTENT_ALWAYS_ALLOW

        在onReceivedSslError中拦截sslerror错误，接受ssl证书（handler.proceed();）

        2、android5.0及  以下js无法监听回删事件

        需要手动发送回删事件,创建BaseInputConnection对象，判断是回删事件调用con.sendKeyEvent(event);

方案：

使用第三方浏览器内核，目前主要有ChromeView、Crosswalk、TbsX5(腾讯浏览服务)，ChromeView基本没维护，Crosswalk体积比较大（会增加10多M），TbsX5提供两种集成方案：1、共享微信手Q空间的x5内核，独立下载x5内核

安全

1、劫持，android客户端访问外部地址，经常会遇到运营商的劫持（嵌入额外的广告或是跳转到其他页面），主要有两类：http劫持和DNS劫持

http劫持：主要是返回的html内容被添加了额外的广告代码，通过改为https，进行数据加密，可以解决

DNS劫持：这个更变态，直接重定向到他们的广告页面

方案：由域名访问改为ip访问

        1、利用第三方提供的httpNDS服务，该服务的作用是将客户端发起请求的域名解析成ip返回给客户端，客户端拿返回的ip重新发起请求。这种方式绕过了local DNS 服务可以有效避免被劫持。

        2、自己替换，例如利用Okhttp提供的dns接口，重载 Dns的lookup 方法，根据host 返回 InetAddress。

2、各种安全漏洞   

包括任意代码执行漏洞、跨域、密码明文保存等

        1、任意代码执行漏洞，addJavascriptInterface接口会引起远程代码执行漏洞。可以利用反射机制，执行任意java对象方法。

      2、密码明文存储，WebView默认开启密码保存功能mWebView.setSavePassword(true)，如果该功能未关闭，在用户输入密码时，会弹出提示框，询问用户是否保存密码，如果选择"是"，密码会被明文保到/data/data/com.package.name/databases/webview.db

        3、WebView域控制不严格漏洞，Android中默认mWebView.setAllowFileAccess(true)，在File域下，能够执行任意的JavaScript代码，在JELLY_BEAN以前的版本默认是setAllowFileAccessFromFileURLs(true),允许通过file域url中的Javascript读取其他本地文件，在JELLY_BEAN以前的版本默认是setAllowUniversalAccessFromFileURLs(true),允许通过file域url中的Javascript访问其他的源，包括其他的本地文件和http,https源的数据。

        4、Android 2.3 webkit或者浏览器APP自建内核中会存在此类跨域漏洞。在处理转跳时存在漏洞，导致允许从http域跨向file域，实现跨域漏洞。

方案：

1、建议开发者通过以下方式移除该JavaScript接口：

removeJavascriptInterface("searchBoxJavaBridge_")

removeJavascriptInterface("accessibility")；

removeJavascriptInterface("accessibilityTraversal")

2、添加@JavascriptInterface，level 17 后，只有显示添加@JavascriptInterface的方法才能被JavaScript调用，这样反射就失去作用了。level17之前的，通过拦截prompt（）或是使用shouldOverrideUrlLoading拦截特定协议，进行漏洞修复（todo）。

3、通过WebSettings.setSavePassword(false)关闭密码保存提醒功能

4、通过以下设置，防止越权访问，跨域等安全问题：

setAllowFileAccess(false)

setAllowFileAccessFromFileURLs(false)

setAllowUniversalAccessFromFileURLs(false)

参考文章

Android-WebView4.4以下兼容

Url重构以及防DNS劫持的相关问题

Android 使用OkHttp支持HttpDNS

OKHttp 如何支持 HttpDns

HTTPS与httpdns一起用的业务场景解决方案

Android WebView远程执行代码漏洞浅析

Android：你不知道的 WebView 使用漏洞

Android Hybrid 和 WebView 解析

android WebView详解，常见漏洞详解和安全源码