WebView addJavascriptInterface接口中的隐忧解决方法

最新推荐文章于 2025-05-09 15:40:48 发布
最新推荐文章于 2025-05-09 15:40:48 发布
阅读量6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Android应用技巧 文章标签: Android webview 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/owillll/article/details/20996139
本文介绍了一个存在于API17以下版本的WebView中的安全漏洞,该漏洞可能导致客户端被利用从而泄露SD卡数据。文中提供了几种解决方案,包括过滤本地文件访问、限制加载非本站点网页以及移除默认添加的“searchBoxJavaBridge_”接口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        我们自己没有添加addJavascriptInterface,甚至默认为false。但是还是有漏洞,因为在低于API17的WebView上默认添加"searchBoxJavaBridge_"到mJavaScriptObjects中。

        这样就有可能通过用户信任的客户端获取SD卡的数据。

        解决方法有几点:

        1. 过滤本地文件的访问: 

if (!url.startsWith("file://")) {
        // to do.
}
        2. 过滤未知网站(可以非本站点的都不允许加载)

        3. 删除默认添加的"searchBoxJavaBridge_"

// in WebView setting:
        if (Build.VERSION.SDK_INT > 10&&Build.VERSION.SDK_INT < 17) {
        	fixWebView();
        }

// fixWebView like this:
	@TargetApi(11)
    private void fixWebView() {
            //        http://50.56.33.56/blog/?p=314
            //        http://drops.wooyun.org/papers/548
            // We hadn't use addJavascriptInterface, but WebView add "searchBoxJavaBridge_" to mJavaScriptObjects below API 17 by default:
            // mJavaScriptObjects.put(SearchBoxImpl.JS_INTERFACE_NAME, mSearchBox);
            mWebView.removeJavascriptInterface("searchBoxJavaBridge_");
    }


Android WebViewaddJavascriptInterface 探究
juruiyuan111的专栏
05-09 1396
Java和JS交互的方式有多种,这里探讨的方式是通过以下方式进行的交互。这篇文章是想弄明白 JavaScript 和 Java是如何实现这种方式互调的,就从源码角度开始分析。
Android4.2下 WebViewaddJavascriptInterface漏洞解决方案
zhouyongyang621的专栏
07-22 1万+
最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象,然后在JS中可以访问到Native这个对象,就可以调用这个对象的一些方法
android addjavascriptinterface 漏洞,Android WebView组件addJavascriptInterface方法远程命令执行漏洞...
weixin_32757449的博客
06-04 535
发布日期:2013-09-05更新日期:2013-09-07受影响系统:Android Android < 4.2描述:--------------------------------------------------------------------------------Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件...
精通Android WebView嵌入网页的实战指南
最新发布
weixin_42578963的博客
05-09 1290
WebViewAndroid平台上一个强大的组件,允许开发者直接在应用内展示网页内容。它支持HTML、CSS和JavaScript,使得开发者能够在移动应用中嵌入网页,从而提供丰富的交云互动体验。为了理解WebViewClient的使用,我们来看一个简单的实践案例。假设我们想要在页面加载开始时显示一个加载动画,并在页面加载完成后隐藏它。@Override// 显示加载动画@Override// 隐藏加载动画@Override// 显示错误页面或消息。
webviewaddJavascriptInterface,js调用java函数打包出现不响应,即使对混淆处理
tiny_lxf的博客
09-04 748
webview中写的Java的函数,js调用时在Android打包时不响应,本人初入安卓,使用webview时,调试没问题,打包后调试出现问题,不管哪个版本,都不响应,网上搜了很多办法,按照那样的方法都没成功,最后自己瞎尝试,终于解决webview.addJavascriptInterface(new JavascriptInterface(this), "diao");   w
AndroidWebView加载html页面时,JS 与客户端交互,传参
qq446869111的专栏
12-08 1004
最近的项目中遇到了客户端编程与html 公用的情况,所以免不了会用到html中js与客户端的编程,所以研究了一下,希望与大家共享! 其实实现该功能的帖子网上一大堆,在这里我只说重点。
WebView中你不知道的事localStorage
白叶的博客
01-20 1万+
今天在开发项目的时候碰到一个怪事:本着以为开发webview都是简简单单的事情首先:实例化webview,启用JavaScript,接着再设置WebViewClientmWebView = (WebView) findViewById(R.id.webView);WebSettings settings = mWebView.getSettings();settings.setJavaScriptE
Android webview 内存泄露的解决方法
01-04
Android webview 内存泄露的解决方法 最近在activity嵌套webview显示大量图文发现APP内存一直在涨,没法释放内存,查了很多资料,大概是webview的一个BUG,引用了activity导致内存泄漏,所以就尝试传递...
android webview中使用Java调用JavaScript方法并获取返回值
10-24
如果需要在WebView中启用JavaScript调用Android代码的功能,还要在addJavascriptInterface()方法中声明一个Java类的实例,并为其指定一个可以在JavaScript中访问的接口名字。 在Java代码中定义一个内部类,用于接收...
Android安全检测 - WebView系统隐藏接口漏洞
qq_35993502的博客
09-24 2027
这一章我们来学习“Webview系统隐藏接口漏洞”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 CVE-2014-1939: 在java/android/webkit/BrowserFrame.java文件中,通过API addJavaScriptInterface()添加了一个SearchBoxImpl类的对象searchBoxJavaBridge_,所以攻击者可通过searchBoxJavaBridge_对象进行反射攻击,通过访问searchBoxJavaBridge_接口利用该漏洞执行任意J
Android WebView常见问题及解决方案汇总
810364804
11-05 1225
如有转载,请声明出处: 时之沙:http://blog.csdn.net/t12x3456 Android WebView常见问题解决方案汇总: 就目前而言,如何应对版本的频繁更新呢,又如何灵活多变地展示我们的界面呢,这又涉及到了web app与native app之间孰优孰劣的争论. 于是乎,一种混合型的app诞生了,灵活多变的部分,如淘宝商城首页的活动页面,一集凡客诚品中我们都可以见到we...
Android-抛弃使用高风险的WebViewaddJavascriptInterface方法通过对js层调用函数及回调函数的包装
08-13
支持异步回调,方法参数支持js所有已知的类型,包括数字,字符串,布尔值,对象,函数。同时还针对WebView的一些常用的方法进行了一定的封装,像返回,刷新,网页中图片保存,是否用系统浏览器进行打开
Flutter:WebView和H5通信
Gemini_Kanon的博客
12-09 2894
之前项目里用的flutter_inappbrowser插件,最近升级flutterSDK之后之前的和H5通信的方法改了,改的我一塌糊涂而且这个插件现在好像也搜不到了,应该是年久失修弃用了,于是乎我换用了flutter_inappwebview,下面上代码说明 flutter端: InAppWebView( initialUrl: "http://www.xxx.com, onWebViewCreated: (InAppWebViewController controller){
android webview addJavascriptInterface方法不能调用
xiealan的专栏
12-04 1万+
以前一直觉着用html5做android app是一件很鸡肋的事(勿喷,请恕小的见识少)。 后来又发现很多大公司做的app中都或多或少的使用了html元素,比如微信、qq之类。 最近在网上闲逛发现一个IDE可以使用纯html js css设计app并发布到多个平台,并且更牛的是可以直接使用它提供的js api调用各种系统原生的api。一时心动下载研究。后来发现也并不是想象中多么神奇的事情。
Android WebView使用Javascript详解
进击的小黑哥
05-19 654
java代码: public class WebViewDemo extends Activity { private WebView mWebView; private Handler mHandler = new Handler(); public void onCreate(Bundle icicle) { super.onCreate(icicle); setC
webView.addJavascriptInterface 用法
chuyouyinghe的专栏
12-11 2196
在这里我们引用Google的一个事例下面是我Google给提供的一个dome的地址:点击打开链接 我们先看它的HTML文件,HTML的文件路径是在:点击打开链接 他的代码为: /* This function is invoked by the activity */ /* 这个函数被Activity调用的活动
Android WebViewaddJavascriptInterface 接口无效问题
Extended Studio
03-11 1802
说点题外话吧,从 Cocos2d-x 技术支持部门调到 Cocos Play 部门已经不知觉半年了。半年中,大概一天都是当成两天来用,完全没有时间做点自己的事情。最近正统的 Andorid 代码已经写的很少写了,倒是 C++, Python 写的飞起,踩过的坑,流过的类也是不计其数。今天难得可以抽点时间写写 Android 代码,没想到又是一个坑,好吧,既然让我遇到了,就顺便记录下来吧。Java 与
关于addJavascriptInterface方法
公众号shadow sock7
09-30 8839
WebView的RCE问题 参考: https://developer.android.com/reference/android/os/Build.VERSION_CODES#JELLY_BEAN 这里的最后一行的意思是: 对于targetSdkVersion为Android 4.2(API 17)及以上的app,在应用中想要使用js调用某方法,那么这个方法必须使用@JavascriptInt...
安卓webview和js+html交互利用的addJavascriptInterfacewebview.loadUrl("javascript:**");
热门推荐
yung7086的机器人锤炼
06-26 6万+
安卓webview和js+html动态添加数据实现交互
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值