[内容]
看到有人提出WebViewBug WebView
经测试 此BUG非常严重
经测试 此BUG非常严重
经测试 此BUG非常严重
重现步骤
任意引入 webview
[期望]
可以直接禁用Plus
可以直接禁用Plus
可以直接禁用Plus
见附件图 , 管理可能比我用的熟练 我就不上代码了,本来想做个简单测试,结果越写越感到严重.恶意HTML页面可以直接获取用户设备包括联系人、地理位置(如果有权限)等所有信息!希望能抓紧修复此问题!!!
BUG反馈无法发布
DCMarvel
- 发布:2020-01-06 14:48
- 更新:2020-01-07 10:39
- 阅读:568
现在设计是这样的,后续可能会提供白名单功能。目前如果不需要访问plus接口可以自己创建webview,配置plusrequire为none即可 https://www.html5plus.org/doc/zh_cn/webview.html#plus.webview.WebviewStyles
uniapper - abc
@Dcloud_UNI_王亚琪
你这个方案不行 如果被加载网页中 插入 < script src='html5plus://ready' >< /script >
照样能获取5+plus对象
我在之前提交的BUG报告早就提了这个问题
你们官方也确认了
https://ask.dcloud.net.cn/question/85390
不知道为什么官方就是不重视呢?
DCMarvel (作者)
<script src="html5plus://ready"></script>
<script>
document.addEventListener('plusready', async function() {
//写上H5+的代码 是不是可以直接干掉所有Uniapp 和H5+app的应用
//可操作所有app已获取权限接口
//如下载木马软件到用户手机并安装启动
//发送用户敏感信息到服务器
//等等
//以上举例都已实现
</script>
所以我觉得有必要出一个公告,禁止所有web view 访问未知业务域名
2020-01-07 10:04