美文网首页
011.影响WebView安全的相关API

011.影响WebView安全的相关API

作者: 春江潮 | 来源:发表于2016-12-16 17:42 被阅读28次

    在混合式开发中,程序不仅要考虑性能问题,还要考虑安全问题。众所周知往WebView中注入Java对象,容易引起很大的安全漏洞,虽然后期增加了@JavaScriptInterface这个注解来帮忙修复。但是在JELLY_BEAN_MR1之前的版本可能依然存在这种漏洞

    涉事API

    WebView.png

    同源策略:它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
    参考链接:

    为什么从网络上加载的HTML没法直接显示file://中的内容

    同源策略限制JavaScript只能操作同源站点的DOM对象。当JavaScript脚本通过非file url(如http url)加载执行时,file url都被判断为非同源url,这样可以阻止http页面中的JavaScript读取本地文件。当JavaScript通过file url加载执行时,有的浏览器允许JS访问所有的本地文件,有的以目录作为同源性判断条件,有的仅仅允许访问url特指的文件。在file url的JavaScript中访问其它协议的资源,也是不同时期不同的浏览器有不同标准,有的允许在file协议中通过XmlHttpRequest请求http资源,有的则不允许。(换一句话说,当从服务器加载的HTML页面的链接中有file://这样 的链接,那么这条链接就直接被阻止了。如果加载的HTML页面是本地页面,那么这个file://链接有可能被加载)

    在开发的过程中,因为sandbox的存在,大部分的应用只访问自己的数据,不关心其它。但是总有那么几款应用或者那么几个API想要跳墙去看看别人的数据。比如IBinder。在WebView中有一下API对应用数据产生安全。

    setAllowFileAccess

    通过这个API可以设置是否允许WebView使用File协议,默认值是允许,如果不允许使用File协议,则不会存在下述的各种跨源的安全威胁,但同时也限制了WebView的功能,使其不能加载本地的html文件。

    setJavaScriptEnabled

    通过此API可以设置是否允许WebView使用JavaScript,默认是不允许,但很多应用,包括移动浏览器为了让WebView执行http协议中的JavaScript,都会主动设置允许WebView执行JavaScript,而又不会对不同的协议区别对待,比较安全的实现是如果加载的url是http或https协议,则启用JavaScript,如果是其它危险协议,如是file协议,则禁用JavaScript。禁用file协议的JavaScript可以很大程度上减小跨源漏洞对WebView的威胁。

    setAllowFileAccessFromFileURLs

    通过此API可以设置是否允许本地html中的JavaScript读取其它的本地文件。JELLY_BEAN以前的版本默认允许,之后的版本默认禁止

    setAllowUniversalAccessFromFileURLs

    通过此API可以设置是否允许本地html中的JavaScript是否可以读取本地或者网络上的资源。这个设置在JELLY_BEAN以前的版本默认是允许,在JELLY_BEAN及以后的版本中默认是禁止的。如果此设置是允许,则setAllowFileAccessFromFileURLs不起做用

    参考链接:
    WebView跨源攻击分析

    相关文章

      网友评论

          本文标题:011.影响WebView安全的相关API

          本文链接:https://www.haomeiwen.com/subject/wqgnmttx.html