webview白名单

最新推荐文章于 2023-12-13 10:36:43 发布
转载 最新推荐文章于 2023-12-13 10:36:43 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/weixin_33816946/article/details/94607053
文章标签:

#webview #android #java

本文介绍了在Android开发中,针对Webview的安全措施,如在loadUrl、shouldOverrideUrlLoading中添加白名单验证,并通过Java的URI类提取域名。强调了避免使用indexOf进行模糊匹配,不建议使用HTTP协议,以及权限最小化原则。同时警告了即使有白名单,仍可能存在XSS攻击、服务器被控制或中间人攻击的风险。提供了代码示例作为参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.添加白名单验证的时机

1.loadurl
2.shouldOverRideUrlLoading
3.如果需要对白名单进行安全等级划分,还需要在JavascriptInterface中加入校验函数,JavascriptInterface中需要使用webview.getUrl()来获取webview当前所在域
风险提示:
上面这些都做了还有可能被攻击,比如白名单中的服务器存在XSS漏洞,或者白名单中的服务器被攻击者控制,或者webview访问没有采用安全的传输通道导致被中间人劫持等,都可以在白名单信任域中注入恶意JavaScript

2.代码实现

private  boolean checkDomain(String inputUrl) throws  URISyntaxException {
    if (!inputUrl.startsWith("http://")&&!inputUrl.startsWith("https://"))     {
       //重要提醒:建议只使用https协议通信,避免中间人攻击
        return false;
    }
    String[] whiteList=new String[]{"site1.com","site2.com"};
    java.net.URI url=new java.net.URI(inputUrl);
    String inputDomain=url.getHost(); 
    //提取host,如果需要校验Path可以通过url.getPath()获取
    for (String whiteDomain:whiteList)
    {
        if (inputDomain.endsWith("."+whiteDomain)||inputDomain.equals(whiteDomain)) //www.site1.com      app.site2.com
            return true;
    }
    return  false;
}

可以总结为如下几条开发建议:
不要使用indexOf这种模糊匹配的函数;
不要自己写正则表达式去匹配;
尽量使用Java封装好的获取域名的方法,比如java.net.URI,不要使用java.net.URL;
不仅要给域名设置白名单,还要给协议设置白名单,一般常用HTTP和HTTPS两种协议,不过强烈建议不要使用HTTP协议,因为移动互联网时代,手机被中间人攻击的门槛很低,搭一个恶意WiFi即可劫持手机网络流量;
权限最小化原则,尽量使用更精确的域名或者路径。
当然上述代码可能不完全符合业务开发需求,这里只是给大家一个参考,大家可以参考本文的案例自己开发出更适合的校验方法。

本博是学习自这篇博客
https://blog.youkuaiyun.com/weixin_33816946/article/details/94607053

uniapp 一进页面是白名单,无需登录,直接进入
weixin_42066070的博客
09-29 3046
【代码】uniapp 一进页面是白名单,无需登录,直接进入。
url scheme跳转webview的h5页面,为什么正式版显示:“对不起,当前页面无法访问”?生产域名已经配置到白名单了,如何解决?
最新发布
**My Coding Family**
04-15 718
🏆本文收录于《全栈Bug调优(实战版)》专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!! 备注:部分问题/疑难杂症搜集于互联网。
网络请求配置
莫忘精彩
09-12 503
编辑 info.plist,加入如下设置:         ....     NSAppTransportSecurity              NSAllowsArbitraryLoads
【原创】一文彻底搞懂安卓WebView白名单校验
weixin_33816946的博客
05-24 2177
前言 近两年公司端侧发现的漏洞很大一部分都出在WebView白名单上,针对这类漏洞安全编码团队也组织过多次培训,但是这种漏洞还是屡见不鲜。下面本人就结合产品中容易出现问题的地方,用实例的方式来总结一下如何正确使用WebView白名单,给开发的兄弟们作为参考。 在Android SDK中封装了一个可以很方便的加载、显示网页的控件,叫做WebView,全限定名为:android.webkit.WebV...
小程序:web-view使用
cwjxyp的博客
03-16 968
【代码】小程序:web-view使用。
微信小程序内联h5页面——webview组件
BigChicken3的博客
07-16 1931
前言 官方文档 web-view是小程序提供的一个可以直连h5页面的组件,只要传递一个h5页面的地址,就可以在小程序里直接打开预览该h5页面。 如果已有移动端h5版本的模块,要开发小程序版本,使用web-view组件做直连就会非常方便。 准备工作 首先要登录小程序管理后台,把web-view直连的h5页面地添加到配置域名白名单中。 比如我想要小程序直连地址为http...
android webview白名单
01-08
### 配置WebView以仅加载指定域名 为了确保WebView只加载来自特定域的内容,在`shouldOverrideUrlLoading`方法中实现URL过滤逻辑是一个有效的方法[^1]。通过重写此方法,可以拦截所有的URL请求并决定是否继续加载...
Android WebView证书固定与方案域白名单演示
资源摘要信息:"在本段信息中,我们主要针对Android系统中的WebView组件的SSL证书固定和方案/域白名单技术进行讨论。这些技术在移动应用安全领域起着重要作用,主要是为了防止中间人攻击和确保数据传输的安全性。" ...
android怎样对webview加载的内容进行拦截修改
lcwoooo的博客
07-05 7879
需求原因,由于App要用webview调用一个html5。但是网页上面老是有一些烦人的小广告,可是html5网页不受我控制,所以我就想能不能把它进行拦截或者修改。 当然有好的方法可以交流交流 大家知道网页上面挂的一般都是广告联盟的广告,一般就是大家看到的一张诱惑图片加跳转。所以拦截前我们要知道我们要过滤网站的那些内容。下面以百度首页为列。 我要把百度的
WebView如何实现加载URL有效得白名单校验
09-12
WebViewAndroid中加载URL时,为了实现有效的白名单校验,你可以采用以下步骤: 1. **创建白名单列表**: 列出所有允许加载的域名或URL模式,存储在一个集合(如ArrayList、HashSet等)或自定义的数据结构里。 `...
iOS中WKWebView白屏问题的分析与解决
08-29
最近在工作中遇到了WKWebView白屏的问题,所以这篇文章主要给大家介绍了关于iOS中WKWebView白屏问题的分析与解决方法,文中通过示例代码介绍的非常详细,对同样遇到这个问题的朋友具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
ios https 安全证书配置
baikan6930的博客
09-17 734
原定于2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS,需要配置Https。但是现在不需要了,无固定期限的往后延期了,但是这个还是得弄明白下为好,说不定哪天突然就让弄了。 一、 2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS。 就是要求去掉 Info.plist 的 NSAllowsArbitraryLoads ...
uniapp 使用web-view外接三方
qq_48701993的博客
11-30 1076
前阵子有个需求是需要在原有的项目上加入一个电子签名的功能,我的做法是,将这个电子签名写在一个新的项目中,然后原有的项目使用web-view接入这个电子签名项目;最近又有一个需求,是需要接入第三方的页面,也用到了web-view组件,那今天就来总结下这两个需求的共同点。
iOS 修改HTTPS 添加白名单 ; 直接进行http访问
jhq2214的博客
11-20 5963
由于iOS9 更新,限制HTTP协议的访问,需要在info.list中设置白名单才能检测其他程序是否安装。 当你的应用在iOS9 中需要使用QQ/QQ空间/支付宝/微信 SDK 时,需要在info.list中添加如下代码: LSApplicationQueriesSchemes             微信 URL Scheme 白名单-->         wechat  
uni-app 之 web-view 与h5 通讯
C_see的专栏
11-29 3345
uniapp中使用webview,h5与vue、nvue通信注意事项
iOS WebView通信链路安全
eeybee的专栏
08-14 757
最近在整理技术点的时候发现电脑上存有一些知识点的记录,是以前在开发的过程中遇到的一些问题,现在再重新梳理了出来 项目需求:防止webview里面的数据被抓包,给app中的webview也加上https校验,防止攻击 https校验原理、加密原理、证书制作等已经有很多文章介绍,相信大家已经很熟悉了;本文只讲在多家服务器资源访问的情况下对web实现https校验的部分。 一、相关知识点 一般情况下很...
webview的小程序(自留备用)
qq_56489154的博客
07-25 2303
webview不仅可以在微信小程序使用、还可以在支付宝小程、抖音小程序、百度小程序、安卓APP、IOSAPP等全域使用。
uniapp使用webview嵌入vue页面及通信
默然相爱鱼鱼鱼的博客
12-13 1840
最近刚做的一个需求,web端(Vue)使用了FormMaking库,FormMaking是一个拖拉拽的动态设计表单、快速开发的一个东西,拖拽完之后最终可以导出一个很长的json,然后通过json再进行回显,快速开发,但是因为FormMaking是基于Vue和ElementUI的,uniapp中不能直接使用,只能采用webview的方式进行嵌入。就是把Vue项目中的要嵌入的页面加入到白名单,也就是不需要登陆就可以访问该页面,直接将该页面通过webview嵌入到uniapp中即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值