没有WebView的Android应用程序(编码在JAVA中)是否可能存在XSS漏洞(反映或存储类型)?
Is it possible to have an Android application (coded in JAVA) without WebView have XSS vulnerabilities (reflect or stored type)?
是否可以让一个 Android 应用程序仅编码 JAVA 具有 XSS 漏洞(反映或存储类型)?
例如,我们可以调用以下写在Android/JAVA中的代码行:
//input taken from user on EditTextView without any validation
String userAddress = addressInputEditText.getText();
//now just displaying the userAddress on TextView
addressDisplayTextView.setText(userAddress);
是否存在 XSS 漏洞,如果 userAddress 字符串对象被拦截并更改为中间的任何易受攻击的字符串?如果是这样,那么该字符串可能是什么?我们如何防止它?
我自己不熟悉这样的问题。网络上的 XSS 攻击之所以存在,是因为浏览器可以将您认为是字符串的东西视为潜在的脚本,例如字符串:<script>alert("hello")</script>
.
但是,在 android 中,运行时不会尝试了解输入是字符串、脚本还是其他类型的数据。它把它当作一个字符串。因此,即使您试图输入一些恶意代码,它也不会被执行,而只会像其他任何字符串一样显示出来。
是否可以让一个 Android 应用程序仅编码 JAVA 具有 XSS 漏洞(反映或存储类型)?
例如,我们可以调用以下写在Android/JAVA中的代码行:
//input taken from user on EditTextView without any validation
String userAddress = addressInputEditText.getText();
//now just displaying the userAddress on TextView
addressDisplayTextView.setText(userAddress);
是否存在 XSS 漏洞,如果 userAddress 字符串对象被拦截并更改为中间的任何易受攻击的字符串?如果是这样,那么该字符串可能是什么?我们如何防止它?
我自己不熟悉这样的问题。网络上的 XSS 攻击之所以存在,是因为浏览器可以将您认为是字符串的东西视为潜在的脚本,例如字符串:<script>alert("hello")</script>
.
但是,在 android 中,运行时不会尝试了解输入是字符串、脚本还是其他类型的数据。它把它当作一个字符串。因此,即使您试图输入一些恶意代码,它也不会被执行,而只会像其他任何字符串一样显示出来。