Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/android/203.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
使用eclipse开发的android webview应用程序显示XSS漏洞警告_Android_Eclipse_Webview_Xss - Fatal编程技术网
Fatal编程技术网
  • android/
  • 使用eclipse开发的android webview应用程序显示XSS漏洞警告

使用eclipse开发的android webview应用程序显示XSS漏洞警告

android eclipse webview

使用eclipse开发的android webview应用程序显示XSS漏洞警告,android,eclipse,webview,xss,Android,Eclipse,Webview,Xss,我有一个使用Javascript代码的本地HTML文件。我正在使用webview加载android应用程序的HTML文件。我只是在应用程序中显示文本内容。我的屏幕上没有导航或用户登录 我在Java代码中使用setJavaScriptEnabledtrue和setWebViewClient来加载。我收到一条关于使用setJavaScriptEnabledtrue的XSS漏洞的警告 我也不会调用其他.js或.css文件 我没有在我的应用程序中调用任何其他网站。我的安卓应用程序是否足够安全,不会被盗版

我有一个使用Javascript代码的本地HTML文件。我正在使用webview加载android应用程序的HTML文件。我只是在应用程序中显示文本内容。我的屏幕上没有导航或用户登录

我在Java代码中使用setJavaScriptEnabledtrue和setWebViewClient来加载。我收到一条关于使用setJavaScriptEnabledtrue的XSS漏洞的警告

我也不会调用其他.js或.css文件

我没有在我的应用程序中调用任何其他网站。我的安卓应用程序是否足够安全,不会被盗版,或者我应该添加额外的代码或步骤来保护我的应用程序代码免受黑客攻击?请建议。

发布答案太晚了。希望这对将来的人们有用

Android webview非常容易受到跨站点脚本攻击,因为它没有Chrome或Firefox等现代浏览器使用的任何预防机制。Webview还容易受到不安全的直接对象引用和SQL注入的攻击

XSS漏洞可用于使用file:///命令访问共享首选项文件,或利用smsJSInterface.launchSMSActivity从手机发送不需要的SMS消息

您必须禁用webview的javascript,或者,如果无法做到这一点,请确保通过使用XSS过滤器组件(如OWASP Java编码器项目)正确转义每个上下文

我在上面链接的问题有很多方法,都是由提出这个问题的人实现的。如果你问我的话,他的作品非常出色。他仍然担心他的应用程序有多安全。好吧,如果你正在为旧设备开发4.0及以下版本,也许使用他正在使用的技术是最好的选择。否则,只需按照最佳答案的建议进行操作,并将其添加到您的清单中:

<manifest>
 <meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
            android:value="true" />
  . . .
 <application> . . . </application> </manifest>
这将启用应用程序中所有网络视图的安全浏览

祝你好运,希望有帮助: