☺️️近期我们正在更新一个新样式,希望你会喜欢!
Android常见安全风险点之webview使用addJavascriptInterface风险

webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。

确保只在访问可信页面数据时才使用addjavascriptInterface调用java对象方法前对参数进行检查,避免执行恶意操作。
对于4.2以上android系统应用,使用@JavascriptInterface代替addjavascriptInterface限制对于该接口的使用来源,只允许可信来源访问该接口,例如使用WebViewClient中的shouldOverrideUrlLoading()来对加载的url进行检查。

相关推荐:
使用隐式intent进行广播会造成数据泄露、拒绝服务、钓鱼等安全问题。 使用Intent.setPackage 、Int […]
当这个标志被设置为true或不设置该标志时应用程序数据可以备份和恢复,adb调试备份允许恶意攻击者复制应用程序数据。 在 […]
忘记加载activity的layout文件:setContentView(R.layout.main);
找不到activity类: android.content.ActivityNotFoundException […]
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为fals […]
手机扫一扫即可带走我!