android与js交互,以及webview漏洞修复问题

最新推荐文章于 2021-05-27 15:42:28 发布
最新推荐文章于 2021-05-27 15:42:28 发布
阅读量708 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 使用记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/starryyyz/article/details/60867667
本文介绍WebView与Android间的数据交互方式,包括JS调用Android方法及Android调用JS方法的具体实现。同时分享了如何解决交互带来的安全漏洞问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、webview与android进行数据交互

1.js调用android中的方法:
需要加上这一句话:

webView.addJavascriptInterface(new JsInteration(), "android");

JsInteration为一个类:

public class JsInteration {
        @JavascriptInterface
        public void back() {
            Bitmap bitmap = EncodingUtils.createQRCode(strResult, 1000, 1000);
            showPopWindow(bitmap);
        }
    }

我这里做的工作是,在html页面上点击,将一些数据传到android端,然后通过android绘制一个二维码图片,并且通过Popwindow继续展示。类似于点击图片放大。
在js中的使用方法是:

function changeSize() {
        //调用Java的back()方法
        window.android.back();
    }

2.android调用js方法
在js中定义的funcation如下:

function setwcjyhdssglzmbh(a) {
        document.getElementById("wcjyhdssglzmbh").innerHTML = a;
    }

在android中用如下方法进行引用:

webView.evaluateJavascript("setwcjyhdssglzmbh('" + strResultList[1] + "')", null);

这样就完成了android端的数据传值html页面,并且进行显示。

Tips,我在使用的时候js只能写在html页面中,不能单独写成一个Js,html进行引用。如果有好的方法,或者我这个说的有问题烦请告诉我,谢谢。

3.关于使用Webview后,进行漏洞检测会出现高危漏洞的问题。
由于项目需求,必须要有交互,所以在使用之后送至腾讯、百度、阿里自动化检测工具进行安全漏洞检测,都会出现几个关于webview的漏洞,

漏洞截图样例

对于第一个问题,如果你一定使用到了这个方法,可以在页面加载的时候加上这个语句

if (Build.VERSION.SDK_INT < 19) {
            TipsToast.ToastShow(WcjyzmActivity.this, "对不起!系统版本过低,不支持该功能!");
            WcjyzmActivity.this.finish();
        }

再网上查了资料,说是在api17之后的webview已经修补了这个漏洞。
Tips,如果你需要android调用js方法的话,最低的api为19,所以我直接判断在19之后就不允许访问该页面。
但是,就算是这样 -。- 该报漏洞的还是会报,(:з」∠)
所以我就尝试了另外一种方法,是用crosswalk,可以参考这俩大牛的
http://www.mobibrw.com/2015/1934
https://software.intel.com/zh-cn/articles/v
文章有点久远,不过确实可以实现,android studio把作为android library,就可以当成webview使用了,唯一一个缺点。。。。就是加入了之后apk贼大啊!!!会大15MB~20MB啊!╮(╯▽╰)╭ 无奈 不过唯一好的就是,漏洞检测不报了,强迫症的福利 (:з」∠)

关于第二个问题,简单加上这几句代码就好了,

webView.removeJavascriptInterface("searchBoxJavaBridge_");
        webView.removeJavascriptInterface("accessibilityTraversal");
        webView.removeJavascriptInterface("accessibility");

本人还是只菜鸟 -。-
以上的如果有错误或者有问题,都可以跟我说下,相互学习。

Android WebViewJs对象注入漏洞解决方案
2401_89213290的博客
01-20 913
1,请看**execute()**这个方法,它遍历所有window的对象,然后找到包含getClass方法的对象,利用这个对象的类,找到java.lang.Runtime对象,然后调用“getRuntime”静态方法方法得到Runtime的实例,再调用exec()方法来执行某段命令。**方法中,我们去解析传递过来的文本,得到方法名,参数等,再通过反射机制,调用指定的方法,从而调用到Java对象的方法。【2】关于返回值,可以通过prompt返回回去,这样就可以把Java中方法的处理结果返回到Js中。
Android WebView漏洞总结
Venscor技术养成之路
01-08 2285
2015年就了解了这个漏洞,但只是简单的试了一下,时间一久就忘记了。导致16年无任何准备的条件下,给面试官讲这个漏洞都讲不清楚,丢人。最近学习了一下web安全相关的知识,就顺便在看了一下这个老的Webview漏洞。全程几乎没有什么干货,就当做个记录。一、几个老的CVE  CVE-2012-6336:WebView RCE漏洞原型,对于使用了Webview API:addJavaScriptInter
android js安全的交互
09-13
android 原有的交互模式存在漏洞,会出现被注入的危险。通过这种模式更加安全,方便,封装好,只需关系自个的业务代码。而且兼容ios
android WebViewJS交互以及需要注意问题
VIPqiangqiang的专栏
11-17 892
  1.android中利用webview调用的js代码。 Android 中可以通过webview来实现和js交互,在程序中调用js代码,只需要将webview控件的支持js的属性设置为true,,然后通过loadUrl就可以直接进行调用,如下所示: mWebView.getSettings().setJavaScriptEnabled(true); 方法1:mWebView.load...
android webviewjs交互注意事项
qq_27651253的博客
11-07 348
android webviewjs交互的注意事项: 一 写代码注意: 1:在android4.4之后,为了安全,js调用android端的方法的时候需要添加 @JavascriptInterface注解.  2:如果不想用android自带浏览器加载页面 , 需要new WebviewClient() 二 优化注意事项:
WebView常见漏洞修复
coder0408的专栏
01-05 837
一、WebView中,主要漏洞有三类 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 二、具体分析 2.1 WebView任意代码执行漏洞 出现该漏洞的三个: WebViewaddJavascriptInterface()接口 WebView 内置导出的 searchBoxJavaBridge_对象 WebView 内置导出的 accessibility 和 accessibilit...
js调用安卓方法失败的时候_WebViewJS调用Android Method 遇到的坑整理
weixin_36265665的博客
12-23 210
WebViewandroid中常用的一个组件,其作用是展示网页,并让网页和android app进行一些业务逻辑上的交互。其坑无数,相信用过的都知道,一个一个来解决吧。1.怎么互调:function android(bl){if(bl){document.getElementById("ap").innerHTML= "是true啊参数传过来了"}else{document.getElement...
Android程序研发源码Android WebViewJS应用源码.rar
04-30
本压缩包"Android程序研发源码Android WebViewJS应用源码.rar"提供了关于如何在Android应用中集成WebViewJavaScript交互的实践示例。以下是对这个主题的详细讲解: 1. **Android WebView简介** Android WebView...
Webviewjs交互漏洞及解决方法(有注释代码)
c_cayujie的博客
03-14 1385
前两天去Tencent面试,被面试官问到这个问题,答得不是很好,于是回来总结一下,并提供了解决方法大家分享。 在Android中,netivejs交互已经不是什么新鲜事。大多数人都知道WebView存在一个漏洞,大致是因为js可以通过webview的window对象获得Class然后通过遍历所有的方法,找到runtime方法,边,虽然该漏洞已经在Android 4.2上修复了,即使用@Jav
Android WebView中JavaScript漏洞的预防策略示例
对于通过WebViewJavaScript交互的代码,应严格进行输入输出验证: - **输入验证**: 当从网页接收数据时,验证所有输入内容,确保它们符合预期格式,避免执行未知的JavaScript代码。 - **输出编码**: 当WebView...
android 加载应用js
08-21
webview加载页面,JS方法不能加载的问题解决 .
android WebViewJS交互小结
pcsxk的专栏
10-10 813
android里边的WebView是一个经常用到的控件,尤其随着H5的发展,WebView被应用的更多。在使用WebView时,JS交互是一个常见的场景,这里我简单的总结一下。开启JS为何要开启开启很简单, 但是做之前我们可以先想一下为什么要开启JS支持。 其实开JS支持的最主要作用是使得H5页面可以正常运行,因为H5的火爆相当程度上要依靠JS的支撑,才实现那么多酷炫的效果。我刚开始接触WebV
AndroidwebView调用JS出错的解决办法
秋天的博客
11-05 2206
H5 js调用android 函数,然后Android调用H5 js出错 webView调用JS出错。 A WebView method was called on thread 'JavaBridge'. All WebView methods must be called on the same thread. 错误代码 @JavascriptInterface public void testcallback(){ webView.
Android WebView在API 17之后调用addJavascriptInterface方法无效的解决方案
weixin_30635053的博客
07-12 192
Google在Android4.2 之后提供了利用JavaScript调用java代码的方法,造成了很大的安全漏洞,所以在API 17之后,Google将JavaScript能被调用的方法限制在使用了JavascriptInterface注解之后的代码。 如果在项目中有需要调用java方法的JavaScript代码,需要在方法前面加上@JavascriptInterface 注解。 转载于:ht...
JS和安卓的常见漏洞和解决方法
weixin_33781606的博客
12-05 127
1、 JS调用的安卓方法必须放在一个Handler中执行 2、webview可能造成漏洞,调用时分三种: addJavascriptInterface 进行js调用, 4.2以下有漏洞 使用WebViewClient的shouldOverrideUrlLoading 进行url拦截,缺点是单向请求,有返回值的必须在通过js方法进行返回,适合于页面转换无返回值的情况 重写WebVie...
WebView中你不知道的事localStorage
白叶的博客
01-20 1万+
今天在开发项目的时候碰到一个怪事:本着以为开发webview都是简简单单的事情首先:实例化webview,启用JavaScript,接着再设置WebViewClientmWebView = (WebView) findViewById(R.id.webView);WebSettings settings = mWebView.getSettings();settings.setJavaScriptE
安卓JS互调之android webview addJavascriptInterface 的方法不能调用
热门推荐
lumingwei2411的博客
03-17 1万+
以前一直觉着用HTML5做Android app是一件很鸡肋的事(勿喷,请恕小的见识少)。 后来又发现很多大公司做的app中都或多或少的使用了html元素,比如微信、qq之类。 最近在网上闲逛发现一个IDE可以使用纯html js css设计app并发布到多个平台,并且更牛的是可以直接使用它提供的js api调用各种系统原生的api。一时心动下载研究。后来发现也并不是想象中多么神奇的事
Android调用js安全问题,Android应用中的JavaScript使用模式及其安全漏洞分析
weixin_39526651的博客
05-27 395
摘要:近年来,Android应用中的安全漏洞迅速增长.由于大部分Android应用需要访问Web页面,导致JavaScript相关的安全漏洞占据了这些安全漏洞的40%,严重威胁到用户的隐私安全.然而,目前业界对于Android应用中JavaScript安全漏洞的研究存在三点不足:一是没有全面研究所有类型JavaScript安全漏洞的形成原因和攻击方式;二是没有调研Android应用中JavaScr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值