那些遇到过的问题

小编Ste*_*ven的帖子

最佳做法清单,以确保Android WebView安全

我正在开发一个主要使用本机语言编写并支持Ice Cream Sandwich的应用程序。但是,我需要添加一些WebView。关于WebView安全性的讨论很多,当我使用setJavaScriptEnabled(true)时,它会向我发出警告:“使用setJavaScriptEnabled会将XSS漏洞引入您的应用程序中,请仔细检查。”

只是要非常小心使用WebView和setJavaScriptEnable(true)。我遵循了Android WebView安全提示建议。但是没有最佳实践检查表。

到目前为止,我所做的是:

  1. 仅将受信任的内容加载到WebView。从本地html或从我们的后端。

  2. 通过实施拦截来自WebView的所有请求

    webView.setWebViewClient(new WebViewClient() {
    @Override
    public boolean shouldOverrideUrlLoading(WebView view, String url) {
        // magic
        return true;
    }
});
    Run Code Online (Sandbox Code Playgroud)
  3. 确保所有后端请求都使用https,并且仅发送到我们的后端。
  4. 检测SSL警告。
  5. 校验和检查本地html / JavaScript文件。
  6. 缩小JavaScript文件
  7. 更新安全提供程序以防止SSL攻击

还有一些其他不是专门针对WebView的保护,例如加密消息和越狱检查等。

还有什么我想念的吗?我的应用程序有多安全?

谢谢

xss android webview android-security

Ste*_*ven
2016 09-29
3
推荐指数
1
解决办法
1717
查看次数

标签 统计

android ×1

android-security ×1

webview ×1

xss ×1