3***@qq.com
3***@qq.com
  • 发布:2018-01-10 09:03
  • 更新:2018-01-11 15:43
  • 阅读:1939

webview的安全漏洞问题,CNVD权威发布

分类:HTML5+

这是 CNVD的公告:http://www.cnvd.org.cn/webinfo/show/4365

大家怎么看待这件事,感觉我们开发以后有难度了啊?

2018-01-10 09:03 负责人:无 分享
已邀请:

最佳回复

DCloud_heavensoft

DCloud_heavensoft

最有效的办法就是不要访问恶意网页。
如果自己不作的话,那么恶意网页来源于网络劫持,有2种网络劫持可能性:

  1. Webview直接load了远程url,但被运营商或路由器劫持了。避免这种劫持的方法是load的原生url设成https。
  2. 本地的页面在wgt或wgtu更新时,被网络劫持注入恶意js。避免这种劫持的方法是下载更新包时也使用https。

另外由于5+的Webview的能力本来就高于普通Webview,凡是加载非自控网页时,应注意关闭Webview的运行plus的能力,在Webview style参数里有个plusrequire,可设置是否允许该Webview使用plus api。

  • 大队委



    1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)




    2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:




    (1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;


    (2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;


    (3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。



    1. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。


    针对上面几点我们怎么做处理呢?

    2018-01-11 23:13

  • DCloud_heavensoft

    回复 大队委: 各位处理不了这几点。按我说的做就行

    2018-01-11 23:53

深海智行

深海智行 - 专注前端培训

因为你根本处理不了,对你也没什么难度,你装睡就好了。

  • 3***@qq.com (作者)

    哈哈,就是想看看这个到底有多严重。以前没发现自己开发app时,这个实际上是一个漏洞。。。

    2018-01-10 09:31

2***@qq.com

2***@qq.com

目前是否真的存在这个漏洞???????????????

lxl

lxl

这不算漏洞吧。app打开哪个网页都是前端自己开发,自己开发的app怎么会随便去打开恶意网页呢,除非是网络运营商把恶意代码嵌入了页面

该问题目前已经被锁定, 无法添加新回复