网信办检测到我们的H5+APP有以下风险:
1、WebView File域同源策略绕过漏洞
恶意应用通过该漏洞,获取到浏览器所保存的密码、Cookie、收藏夹以及历史记录等敏感信息,从而造成敏感信息泄露。
2、WebView明文存储密码风险
恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。
3、HTTPS证书弱校验漏洞
未对服务器端证书做验证,默认接受任意服务端证书,会存在安全风险,可能会导致恶意程序利用中间人攻击绕过证书校验。
找到解决方案,通过webview的属性设置可以解决:
1、webView.getSettings. setAllowFileAccess(false);
2、WebView.getSettings().setSavePassword(false)
3、webview请求时进行HTTPS强校验配置
但是未找到webview配置的入口, 不知道有没有人有处理过的。
也希望官方人员可以提供解决方案的配置说明,谢谢。
1 个回复
三段码农 - 从5+到uniapp,6年开发,一路成长。
最近也遇到这些问题,当地公.安检测的返回19个安全隐患漏洞,2项隐私风险,同样没有找到方法。
搜索了下解决方法:1原生离线打包,原生代码解决;2第三方加壳加密
不知道官方是否有解决方法。