码迷,mamicode.com
首页 > Web开发 > 详细

Webview跨域访问风险

时间:2018-01-14 20:20:20      阅读:1005      评论:0      收藏:0      [点我收藏+]

标签:span   bsp   get   setting   display   led   注意   策略   view   

漏洞原理:
WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存的配置文件、敏感信息等。

主要利用了android.webkit.WebSettings类中setAllowFileAccess()、setJavaScriptEnabled()、setAllowFileAccessFromFileURLs()、setAllowUniversalAccessFromFileURLs()四个方法配置不当(允许webview使用file协议并允许使用javaScript)的风险,并配合Activity组件暴露漏洞进行攻击。

技术分享图片
<strong>setAllowFileAccess()</strong>
// 启用或禁用Webview中的文件访问,默认是true
webView.getSettings().setAllowFileAccess(true);
 
<strong>setJavaScriptEnabled()</strong>
// 设置webview是否启用javascript执行,默认是false,设置为true就是启用javascript执行。
webview.getWebSettings().setJavaScriptEnabled(true);
 
<strong>setAllowFileAccessFromFileURLs()</strong>
// 设置是否允许通过 file url 加载的文件中Js代码读取其他的本地文件。
// 需要注意的是如果getAllowUniversalAccessFromFileURLs()的值为true,则此设置的值将被忽略。要启用最严格的安全策略,应该禁用此设置:
webView.getSettings().setAllowFileAccessFromFileURLs(false);
// Api级别15及以下,默认是true
// Api级别JELLY_BEAN(API级别16,android4.1版本代号,中文翻译果冻豆)及以上默认是false
 
<strong>setAllowUniversalAccessFromFileURLs()</strong>
// 设置是否允许通过 file url 加载的 Javascript 可以访问其他的源(包括http、https等源)
webView.getSettings().setAllowUniversalAccessFromFileURLs(true);
// Api级别15及以下,默认是true
// Api级别JELLY_BEAN(API级别16,android4.1版本代号,中文翻译果冻豆)及以上默认是false
View Code

 

Webview跨域访问风险

标签:span   bsp   get   setting   display   led   注意   策略   view   

原文地址:https://www.cnblogs.com/sprinng/p/8284006.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!