Android EditText 在加载文本时会成为 XSS 的目标吗?
Could Android EditText be target of XSS when loading a text?
是否有任何不安全的字符串可以使用 setText() 放入 EditText 中?
最近我们的应用程序受到安全扫描程序的影响,EditTexts 从另一个 EditText 加载文本引发了 Reflected XSS 警报。
我知道这可能是 webviews 和网站上的一个漏洞,可能会改变构建的 HTML DOMS 甚至执行 javascript.
我想这可能会影响 android 应用程序的唯一方式是如果第二个 EditText 的文本稍后以程序员不期望的方式处理。
Is there any unsafe strings that may be placed into an EditText using setText() ?
不是真的。正如您所注意到的,您如何使用用户填写到 EditText 中的内容可能存在问题,但 EditText 本身不可编写脚本,因此并不是真正的攻击工具。
Recently our app was subject to a security Scanner and EditTexts loading a text from another EditText raised an Reflected XSS alert.
我不知道有任何与 Android 本机 UI(WebView 之外)相关的 XSS 攻击。毕竟"XSS"对于"cross-site scripting"来说就是shorthand,对于Android原生UI就没有"sites"
恕我直言,许多在线安全扫描器是 snake oil。
实际上它可能是HTML 注入的目标。 EditText.setText(...) 接受一个 CharSequence 对象,它可以是一个 Spanned 对象(从 Html.fromHtml(...) 创建)。 oversecured.com Android 漏洞扫描程序检查此类安全漏洞
是否有任何不安全的字符串可以使用 setText() 放入 EditText 中?
最近我们的应用程序受到安全扫描程序的影响,EditTexts 从另一个 EditText 加载文本引发了 Reflected XSS 警报。
我知道这可能是 webviews 和网站上的一个漏洞,可能会改变构建的 HTML DOMS 甚至执行 javascript.
我想这可能会影响 android 应用程序的唯一方式是如果第二个 EditText 的文本稍后以程序员不期望的方式处理。
Is there any unsafe strings that may be placed into an EditText using setText() ?
不是真的。正如您所注意到的,您如何使用用户填写到 EditText 中的内容可能存在问题,但 EditText 本身不可编写脚本,因此并不是真正的攻击工具。
Recently our app was subject to a security Scanner and EditTexts loading a text from another EditText raised an Reflected XSS alert.
我不知道有任何与 Android 本机 UI(WebView 之外)相关的 XSS 攻击。毕竟"XSS"对于"cross-site scripting"来说就是shorthand,对于Android原生UI就没有"sites"
恕我直言,许多在线安全扫描器是 snake oil。
实际上它可能是HTML 注入的目标。 EditText.setText(...) 接受一个 CharSequence 对象,它可以是一个 Spanned 对象(从 Html.fromHtml(...) 创建)。 oversecured.com Android 漏洞扫描程序检查此类安全漏洞