Android WebView的Js对象注入漏洞解决方案

最新推荐文章于 2024-01-16 15:28:31 发布
最新推荐文章于 2024-01-16 15:28:31 发布
阅读量379 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_21937107/article/details/79896663
Android 专栏收录该内容
57 篇文章 ¥19.90 ¥99.00
订阅专栏
本文探讨了Android WebView中启用JavaScript并注入对象的安全漏洞,通过一个实例展示了如何利用该漏洞执行恶意代码。为了解决这个问题,提出了使用@JavascriptInterface注解和限制注入对象的方法。同时,文章也提醒开发者在处理WebView内容时要格外小心,防止不安全的交互。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在做一个项目过程中,发现了一个很严重的安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。

1,使用场景

我们很多时候要使用WebView来展示一个网页,现在很多应用为了做到服务端可控,很多结果页都是网页的,而不是本地实现,这样做有很多好处,比如界面的改变不需要重新发布新版本,直接在Server端修改就行了。用网页来展示界面,通常情况下都或多或少都与Java代码有交互,比如点击网页上面的一个按钮,我们需要知道这个按钮点击事件,或者我们要调用某个方法,让页面执行某种动作,为了实现这些交互,我们通常都是使用JS来实现,而WebView已经提供了这样的方法,具体用法如下:
[java] view plain
了解本专栏 订阅专栏 解锁全文
JavaScript中的接口——使用Interface js
ByteZenith的博客
09-19 1396
总结一下,虽然JavaScript中没有内置的接口机制,但我们可以借助第三方库如Interface.js来模拟接口的行为。在JavaScript中,虽然没有内置的接口机制,但我们可以使用一些技巧和模式来模拟接口的行为。在本篇文章中,我们将介绍一种名为Interface.js的库,它提供了一种简单而灵活的方式来定义和实现接口。Interface.js是一个轻量级的JavaScript库,它基于约定而非语言特性,允许我们在代码中定义和使用接口。接口的定义和实现之后,我们可以在其他地方使用这个接口。
JS-通信API
Vincent
06-03 474
跨域通信 接收消息监听器 window.addEventListener("message", function(e){      // TO-DO }, false) 消息发送器 otherWindow.postMessage(message, targetOrigin) otherWindow - 发送窗口对象的引用 message - 消息文本 target
Android JsBridge 的坑,registerHandler不执行,callHandler不执行
热门推荐
无风全靠浪
05-24 6万+
以下引用大佬的原话 在使用的过程中,起初遇到了一些bug, 是不敢相信的,毕竟4000多星的项目,近1000 fork,我所有项目加起来也没这么多啊。但是随着使用中遇到的越来越多的问题,我不得不仔细的看了看源码,结合现有的issue, 经过仔细反复的测试、验证,让我大为吃惊,发现此库不仅有一些不合理的地方,而且存在多个致命的问题。在此,先说严重的bug, 文末贴出了我自己实现的修复版,欢迎探讨:...
Android 调用js WARNING: javascript handler threw
Alone的博客
06-17 1618
WebViewJavascriptBridge: WARNING: javascript handler threw. {a: "cb_1_1623898724466", b: "{"userInfo":"","live800Url":"https://chat10.live80…null%2526name%253Dnull%2528null%2529","token":""}"} TypeError: t is not a function at index.8ee24628.js:29 .
AndroidWebView无法后退和js注入漏洞解决方案
09-02
对于JavaScript注入漏洞,尤其是在Android 4.2及以下版本,WebView的安全性较低,恶意代码可能通过注入JS来操控应用。为了防止这种情况,开发者应启用WebView的安全设置,例如禁用JavaScript执行,或者使用`WebView....
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
解决Android WebView无法后退与JS注入漏洞
"这篇文章除了介绍AndroidWebView无法后退的问题,还涉及到了针对安卓4.2及以下版本的js注入漏洞解决方案。在Android应用中,WebView经常用于展示网页内容,但有时会遇到用户无法正常后退或者存在安全风险的情况...
WebViewJavascriptBridge浅析
weixin_30443075的博客
08-22 342
https://www.cnblogs.com/LeeGof/p/8143408.html WebViewJavascriptBridge浅析 WebViewJavascriptBridge是一个Objective-C与JavaScript进行消息互通的三方库。通过WebViewJavascriptBridge,我们可以很方便的实现OC和Javascript互调的功能。WebVi...
server+ client js
08-08
服务器端和客户端两个工程。可以直接通信。
JS定义接口的方式 part1
evebear2013的博客
02-27 1811
<!DOCTYPE html><html><head> <title>JS定义接口的方式 part1</title></head><body> <script type="text/javascript"> // js定义接口有三种方式(1) // 1. 注解描述
android addjavascriptinterface 漏洞,解决android4.2以下addJavaScriptInterface不安全问题
weixin_32534669的博客
06-04 918
问题描述android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞概述Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调...
Android WebView安全方面的一些坑
最新发布
yy1715713348的博客
01-16 1332
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
WebView的JavaScript与本地代码三种交互方式
郭霖
09-30 504
解决WebView漏洞
关于JavaScriptInterface的一系列问题
weixin_30394333的博客
11-03 958
先明确主题,主要做了什么。 接手时app主体是混合开发,以elipse+android SDK为开发环境,但我是个渣渣,我只会用AS,就转成了AS,这部分等会新开文章写。 主要的view只有一个activity_main,里边写了个webview,在mainactivity里去掉了actionbar,一个导入库都没有有四个jar包,然后所有的HTML代码放在了assets里,怎么调用...
AndroidJS交互详解
u013773608的博客
03-01 6120
先来说说什么是JS交互:说的俗一点就是通过我们项目中的控件来调用HTML里的JS代码,也可以通过JS来调用项目中的代码。
Android targetSdkVersion 17 @JavascriptInterface
小点滴
02-20 2万+
targetSdkVersion 是设置希望的SDK版本,如果设置了此属性,那么在程序执行时,如果目标设备的API版本正好等于此数值,他会告诉Android平台:此程序在此版本已经经过充分测,没有问题。不必为此程序开启兼容性检查判断的工作了。 也就是说,如果targetSdkVersion与目标设备的API版本相同时,运行效率可能会高一些。 但是,这个设置仅仅是一个声明、一个通知,不会有太实
androidjs注入和方法统一管理,android WebView 注入js 几种方式
weixin_29504987的博客
05-26 1301
有时我们开发中需要将js 注入到我们本地,有可能你会说,放在Web不就可以了吗,的确,但是需求就是这样的通过流的形式注入@SuppressLint("ObsoleteSdkInt")public void onJsLocal() {StringBuilder builder = new StringBuilder(getJS(this, "qqq.js"));if (Build.VERSION.S...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烈焰晴天

你的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值