WebView安全漏洞问题

最新推荐文章于 2024-09-02 11:15:00 发布
原创 最新推荐文章于 2024-09-02 11:15:00 发布 · 683 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android webview

本文探讨了WebView在Android开发中的常见问题与解决方案,包括远程代码执行漏洞、内存泄漏、JsBridge实现、页面加载状态监测及后台耗电问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、WebView常见的一些坑

        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。

          2、webview在布局文件中的使用:webview写在其他容器时,需要注意的是,当你需要销毁webview的时候在onDestory方法里面先把LinearLayout里面的webviewRemove掉然后再调用webview的removeAllViews和webview的destory方法这样才真正的销毁整个webview而不会导致内存泄漏问题。

            3、jsbridge:是一个很热门的技术,他是一个通过JavaScript与Java构建一个桥实际上JsBridge的却是Js和Native之前的一种通讯方法。简单地说,JsBrideg就是定义Native和Js的通讯,Native只通过一个固定的调用Js,Js也只通过固定的对象调用Native。

             4、webviewClient.onPageFinished->webChromeClient.onProgressChanged,前者就是表示当加载完成页面的时候就会回调onPageFinished这个方法,这个方法会判断你这个网页是否真的加载完毕,当前正在加载的网页如果你产生跳转的时候这个方法就会被调用无数次,当你的加载各种各样的网页的时候并且要完成一些操作的时候最好还是调用webChromeClient.onProgressChanged这个方法。

            5、后台耗电:当程序开启webview加载网页的时候webview会自己开启线程,如果没有很好将webview销毁的话残余的线程就会一直在后台运行,导致引用程序耗电量居高不下。可以采取在Activity的onDestory方法里面直接调用system.exit方法直接把虚拟机关闭。

            6、webview硬件加速导致页面渲染问题:容易出现页面加载带块同时界面闪烁的现象。解决办法是,设置webview暂时关闭硬件加速。

二、关于webview的内存泄漏问题

            1、独立进程就是开启一个单独的进程给webview操作、简单暴力、不过可能涉及到进程间的通信。

            2、动态添加webview,传入webview中使用的Context使用弱引用,动态添加webview意思是在布局中创建一个viewgroup用来放置webview,Activity创建add进来,在activity停止时remove掉。

WebView 的常见的安全漏洞
challenge51all的专栏
08-16 1027
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论中插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 中的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
通过安全浏览保护 WebView
谷歌开发者
07-16 715
文 / 软件工程师 Nate Fischer自 2007 年以来,Google 安全浏览一直为网络用户提供保护,让他们免遭网络钓鱼和恶意软件的攻击。此功能为 30 多亿...
webview 安全漏洞
suo172的博客
09-20 558
webview 安全漏洞 api 16 (android 4.1)以前存在远程执行安全啊漏洞,原因 没有正确限制使用webview.addJavaScriptInterface,攻击者通过反射利用漏洞执行Java代码 webview 动态在布局中调用:写在容器中时候, 主要是内存泄露问题,webview没有及时销毁. 需要在aty销毁的时候,先吧webview在容器中销毁,再调用webvi...
WebView常见漏洞
lixuce1234的博客
07-18 947
WebView的常见漏洞类型包括: 1 WebView任意代码执行漏洞 已知的WebView任意代码执行漏洞有4个。较早被公布是CVE-2012-6636,揭露了WebView中addJavascriptInterface接口会引起远程代码执行漏洞。接着是CVE-2013-4710,针对某些特定机型会存在addJavascriptInterface API引起的远程代码执行漏洞
WebView 安全
weixin_44499245的博客
01-13 323
详见 http://mp.weixin.qq.com/s?__biz=MzAwMjg1NTI2Nw==&mid=503036342&idx=1&sn=e4e94d8f07a14436d422f0ddeab3132b&chksm=02cb01ba35bc88ac8aa0246a7442480ac4c5dc05df7b052446e7415b669bab87204fc...
WebView漏洞
weixin_33737134的博客
11-25 111
WebView的漏洞有多少?http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89Android 4.2以下版本开发时WebView不止是调用了addJavascriptInterface才会有风险,只要用了WebView就会有问题,比如默认加入的searchBoxJavaBridge_对象:http://bl...
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞及解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android WebView安全漏洞修复与JS注入防范
为了解决上述安全漏洞,开发者需要采取一些措施来加强WebView安全性。以下是一些关键的防范策略: 1. **Android版本更新** 首先,确保应用运行在最新的Android平台上。随着Android系统的迭代更新,Google修复了...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 997
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView使用漏洞
gengbaolong的博客
08-13 1246
WebView 坑 漏洞
Android webview安全漏洞
网鱼的栈
05-20 549
原文链接: https://www.jianshu.com/p/3a345d27cd42 webview缓存机制,原文链接: https://www.jianshu.com/p/5e7075f4875f
WebView(三)—— WebView使用漏洞
xingyu19911016的博客
11-15 2674
WebView使用漏洞 WebView中,主要漏洞有三类: 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 1 任意代码执行漏洞 JS调用Android代码是通过addJavascriptInterface接口进行对象映射。 1.1 漏洞产生的原因 // java代码 public class AndroidJS extends Object { @JavascriptInterface public void hello(String msg) { System
WebView漏洞:网络安全中的隐秘威胁
最新发布
Unity打怪升级
09-02 1393
随着移动应用的普及,WebView成为了应用中不可或缺的组件之一。它允许开发者在应用内嵌入网页,为用户提供丰富的内容和交互体验。然而,WebView的广泛应用也带来了新的安全挑战。本文将探讨WebView漏洞的类型、成因以及如何防范这些漏洞。
Android WebView中存在的安全漏洞
bigfc的博客
03-31 2812
开发中常见且需要注意的WebView安全漏洞和解决方案 1.解决 CVE-2014-1939 漏洞 Android 4.4 之前版本webkit中内置了"searchBoxJavaBridge_"接口。攻击者可以通过访问searchBoxJavaBridge_接口利用该漏洞执行任意代码。 解决方案: webView.removeJavascriptInterface("searchBoxjavaBridge_"); 2.解决 CVE-2014-7224 漏洞 Android 4.4之前的版本webview
WebView JS安全问题
小酷陪你玩安卓
02-12 1173
通常我们都可以使用JS调用java的代码,但在android4.2之前这存在着安全隐患,JS可以通过注入的方式调用java的函数。 这里看一下乌云漏洞的一个例子:点击打开链接 1,WebView添加了JavaScript对象,并且当前应用具有读写SDCard的权限,也就是:android.permission.WRITE_EXTERNAL_STORAGE 2,JS中可以遍
Android WebView安全讨论
com360的专栏
08-11 5482
Android WebView安全问题相信大家都遇到过,今天我专门开一个帖子和大家讨论一下如何 正确的对待WebView安全问题。我提出的解决方式也许不是最好的,可能还会有很多其他的更好的解决方案,我在这里也仅仅是抛砖引玉,希望大家能提出更好的解决方案出来,能让大家在讨论中都能获益。 下面我先抛出两个WebView的主要问题 (1)关于Javacript和Java通信的桥的问题。 (
AndroidWebView安全漏洞问题
qq_30885821的博客
03-18 520
参考: https://blog.youkuaiyun.com/carson_ho/article/details/64904635 https://blog.youkuaiyun.com/qq_42014702/article/details/100899046 https://blog.youkuaiyun.com/feather_wch/article/details/82292061 webview常见的坑 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值