Android Webview Java和Javascript安全交互
2016-08-03 09:13
633 查看
最近要对一个网页的源代码进行检测,Android Webview中没有直接获取网页源代码的接口,传统的
Android Webview有两个非常知名的漏洞:
最近爆出来的UXSS漏洞,可以越过同源策略,获得任意网页的Cookie等信息,Android 4.4以下都有此问题,基本无解,只能重新编译浏览器内核解决,详情可以参考最近移动安全三两事,感兴趣的可以去看一下@RAyH4c劫持微博、QQ空间的视频。
成名已久的任意命令执行漏洞,通过
4.2以上,可以通过声明
首先要说明几点:
1.Android Webview中Java调用Js方法很容易,
2.传统的方法中,Js获取Java信息可以采用如下方式:
Java获取Js信息(如通过Js获取网页源代码)可以这样:
3.当网页中有超链接跳转时,将会调用WebClient的
WebViewClient 且该方法返回 true,则说明由应用的代码处理该 url,WebView 不处理,就可以达到拦截跳转的效果。
明白了上面几点,我们可以总结出一个比较安全的Java和Js交互方式:
可以借鉴Android Intent的思路,Java和Js定义一个url格式如
这样的交互方式是异步的,如果你想知道调用一个Js方法是否返回了值怎么办?一般Java调用Js方法是在
转载请注明:Android开发中文站 » Android Webview Java和Javascript安全交互
addJavascriptInterface方法存在安全隐患,所以研究了一下Java和Javascript的安全交互。
Android Webview漏洞
Android Webview有两个非常知名的漏洞:最近爆出来的UXSS漏洞,可以越过同源策略,获得任意网页的Cookie等信息,Android 4.4以下都有此问题,基本无解,只能重新编译浏览器内核解决,详情可以参考最近移动安全三两事,感兴趣的可以去看一下@RAyH4c劫持微博、QQ空间的视频。
成名已久的任意命令执行漏洞,通过
addJavascriptInterface方法,Js可以调用Java对象方法,通过反射机制,Js可以直接获取Runtime,从而执行任意命令。Android
4.2以上,可以通过声明
@JavascriptInterface保证安全性,4.2以下不能再调用
addJavascriptInterface,需要另谋他法。
Java和Javascript安全交互
首先要说明几点:1.Android Webview中Java调用Js方法很容易,
loadUrl("javascript:isOk()")就可以调用isOk这个Js方法,但不能直接获取Js方法的返回结果。
2.传统的方法中,Js获取Java信息可以采用如下方式:
shouldOverrideUrlLoading方法,若设置
WebViewClient 且该方法返回 true,则说明由应用的代码处理该 url,WebView 不处理,就可以达到拦截跳转的效果。
明白了上面几点,我们可以总结出一个比较安全的Java和Js交互方式:
可以借鉴Android Intent的思路,Java和Js定义一个url格式如
js://_,Java调用Js方法,在Js方法中通过
window.location.href='js://_?key=value#key1=value1'模拟跳转,被Java的
shouldOverrideUrlLoading捕获,函数的返回值可以放在url的参数中。(Js调用Java方法原理相同)
这样的交互方式是异步的,如果你想知道调用一个Js方法是否返回了值怎么办?一般Java调用Js方法是在
onPageFinished方法中,获得Js返回值是在
shouldOverrideUrlLoading方法中,两个方法有个共同的参数webview,所以可以首先
webview.setTag(false),如果捕获到返回结果,则
webview.setTag(true),postDelayed在很短时间比如300毫秒后,
webview.getTag()检查是否有变化即可。
转载请注明:Android开发中文站 » Android Webview Java和Javascript安全交互
相关文章推荐
- Android混合开发之WebViewJavascriptBridge实现JS与java安全交互
- Android混合开发之WebViewJavascriptBridge实现JS与java安全交互
- Android:为WebView中的Java与JavaScript的交互漏洞提供【安全可靠】的多样互通方案
- Android中WebViewJavascriptBridge实现JS与java安全交互
- Android混合开发之WebViewJavascriptBridge实现JS与java安全交互
- Android Webview Java和Javascript安全交互
- Android为WebView中的Java与JavaScript的交互漏洞提供安全可靠的多样互通方案
- Android混合开发之WebViewJavascriptBridge实现JS与java安全交互
- Android Webview Java和Javascript安全交互
- Android Webview Java和Javascript安全交互
- Android 利用WebViewJavascriptBridge 实现js和java的交互
- Android 利用WebViewJavascriptBridge 实现js和java的交互
- Android WebView —— Java 与 JavaScript 交互总结
- android webview用法小结2 java与javascript的交互
- Android WebView上实现JavaScript与Java交互
- Android 利用WebViewJavascriptBridge 实现js和java的交互
- Android 利用WebViewJavascriptBridge 实现js和java的交互(一)
- Android 利用WebViewJavascriptBridge 实现js和java的交互(一)
- Android 中利用WebViewJavascriptBridge 实现js和java的交互
- android webview用法小结2 java与javascript的交互