Android常见安全风险点之webview危险函数使用

webview中开启JavaScript、Plugin插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。

1)在android默认关闭了javascript,如果不是必要,请不要打开javascript
2)禁用webview插件功能,如果在项目中需要设置一个特定的插件,请使用setPluginState(API18)
3)关闭本地文件系统访问的示例,如果必需通过webview访问资源,可通过白名单方式打开资源访问

相关推荐:
使用Webview时需要关闭webview的自动保存密码功能,防止用户密码被webview明文存储。 设置webView.getSettings().setSavePassword(false)即可。 …
存在被攻击者利用并通过密钥构造伪数据的风险。 可以通过网上的第三方加固平台来实现,如爱加密、阿里聚安全加密等,同时建议在进行加解密等敏感操作的时候,将算法写到SO扩展库中,这样处理会更安全。 …
键盘区域外才是屏幕的边缘,定义布局文件时使用:android:gravity="bottom"的话就会被挤到上部。 解决办法: 在此工程的androidMainfest.xml文件中对应的Activity中写入 android:windowSoftInputMode="adjustPan" 或 …
Activity,Service等组件有些是对外开放的(manifest.xml 中 export为true或定义的intent-filter的组件是可导出组件),当这些组件传递的参数未做校验时,这些参数可能导致APP 拒绝服务。 请严格校验输入参数,注意 …
Android4.1之前的版本中,sdcard跟路径通过“/sdcard”或者“/mnt/sdcard”来表示,而在Jelly Bean系统中修改为了“/storage/sdcard0”,以后可能还会有多个sdcard的情况。目前为了保持和之前代码的兼容,不要硬编码“/sdca …
拿起手机扫一扫即可带走我!