这取决于您在应用程序中如何使用 WebView。例如,GMail 应用程序使用 WebView 以非常安全的方式查看电子邮件。如果您将任意 3rd-party 内容加载到 WebView 中,则会带来主要风险。浏览器通过在单独的进程中对网页进行沙盒处理来解决这个问题,因此即使页面代码利用渲染引擎的某些安全漏洞并对其进行控制,它仍然无法代表浏览器进行操作。WebView 是单进程的,因此渲染引擎中的任何安全漏洞实际上都会授予恶意代码与您的应用程序相同的权限。
所以基本上,安全使用 WebView 的规则 #1 是只在其中加载受信任的内容。如果您需要显示用户提供的内容,请仅接受纯文本并对其进行清理。尽可能避免启用 JavaScript。以您可以为您的应用程序允许的最新 API 级别为目标——否则 WebView 可能会启用不安全的功能,以便与较旧的应用程序兼容,如果没有这些功能,这些功能将无法运行。