移动安全开发指南-遵循WebView最佳实践

释放双眼,带上耳机,听听看~!
移动安全开发指南-遵循WebView最佳实践

详细描述

WebView可以引入一些安全问题,应该小心地使用。 目前已经发现了使用addJavscriptInterface API所产生的许多可利用的漏洞。

建议

如果不需要JavaScript和Plugin支持,请禁用。 虽然默认情况下都禁用它们,但最佳做法需要明确将其设置为禁用。 禁用本地文件访问。 这限制了对应用程序的资源和资产目录的访问,并减轻了来自网页的攻击,该网页试图获得对其他本地可访问文件的访问。

禁止从第三方主机加载内容。 这可能很难在应用程序内实现。 但是,开发人员可以覆盖shouldOverrideUrlLoading和shouldInterceptRequest来拦截,检查和验证从WebView中发起的大多数请求。 开发者还可以考虑通过使用URI类来检查URI的组件以确保其匹配已批准资源的列表中的条目来实现白名单方案。

示例代码 https://gist.github.com/scottyab/6f51bbd82a0ffb08ac7a

参考

  • http://labs.mwrinfosecurity.com/blog/2012/04/23/adventures-with-android-webviews/
  • https://developer.android.com/training/articles/security-tips.html#WebView

CWE/OWASP

  • M10 – Lack of Binary Protections
  • CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)

人已赞赏
安全工具安全教程

移动安全开发指南-谨慎使用content providers

2019-10-24 16:58:36

安全工具安全教程

移动安全开发指南-避免存储缓存的摄像机图像

2019-10-24 16:59:39

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索