webview中开启JavaScript、Plugin插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。
1)在android默认关闭了javascript,如果不是必要,请不要打开javascript 2)禁用webview插件功能,如果在项目中需要设置一个特定的插件,请使用setPluginState(API18) 3)关闭本地文件系统访问的示例,如果必需通过webview访问资源,可通过白名单方式打开资源访问