易哈佛小麦
易哈佛小麦
  • 发布:2021-01-29 11:37
  • 更新:2021-08-10 15:06
  • 阅读:730

H5+APP离线打包时如何进行webview相关选项配置?

分类:HTML5+

网信办检测到我们的H5+APP有以下风险:
1、WebView File域同源策略绕过漏洞
恶意应用通过该漏洞,获取到浏览器所保存的密码、Cookie、收藏夹以及历史记录等敏感信息,从而造成敏感信息泄露。
2、WebView明文存储密码风险
恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。
3、HTTPS证书弱校验漏洞
未对服务器端证书做验证,默认接受任意服务端证书,会存在安全风险,可能会导致恶意程序利用中间人攻击绕过证书校验。

找到解决方案,通过webview的属性设置可以解决:
1、webView.getSettings. setAllowFileAccess(false);
2、WebView.getSettings().setSavePassword(false)
3、webview请求时进行HTTPS强校验配置

但是未找到webview配置的入口, 不知道有没有人有处理过的。
也希望官方人员可以提供解决方案的配置说明,谢谢。

2021-01-29 11:37 负责人:无 分享
已邀请:
三段码农

三段码农 - 从5+到uniapp,6年开发,一路成长。

最近也遇到这些问题,当地公.安检测的返回19个安全隐患漏洞,2项隐私风险,同样没有找到方法。
搜索了下解决方法:1原生离线打包,原生代码解决;2第三方加壳加密
不知道官方是否有解决方法。

该问题目前已经被锁定, 无法添加新回复