这是 CNVD的公告:http://www.cnvd.org.cn/webinfo/show/4365
大家怎么看待这件事,感觉我们开发以后有难度了啊?
3***@qq.com
- 发布:2018-01-10 09:03
- 更新:2018-01-11 15:43
- 阅读:2275
最佳回复
最有效的办法就是不要访问恶意网页。
如果自己不作的话,那么恶意网页来源于网络劫持,有2种网络劫持可能性:
- Webview直接load了远程url,但被运营商或路由器劫持了。避免这种劫持的方法是load的原生url设成https。
- 本地的页面在wgt或wgtu更新时,被网络劫持注入恶意js。避免这种劫持的方法是下载更新包时也使用https。
另外由于5+的Webview的能力本来就高于普通Webview,凡是加载非自控网页时,应注意关闭Webview的运行plus的能力,在Webview style参数里有个plusrequire,可设置是否允许该Webview使用plus api。
大队委
file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;
(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
针对上面几点我们怎么做处理呢?
2018-01-11 23:13
DCloud_heavensoft
回复 大队委: 各位处理不了这几点。按我说的做就行
2018-01-11 23:53