setJavaScriptEnabled(false) 是否修复跨应用脚本漏洞
Does setJavaScriptEnabled(false) fix Cross App Scripting Vulnerability
正如 https://support.google.com/faqs/answer/9084685 提到的,“启用 JavaScript 并加载从不受信任的 Intent 读取的数据的 WebView 可能会被恶意应用程序欺骗,从而在不安全的上下文中执行 JavaScript 代码。”
这是否意味着 setJavaScriptEnabled(false) 可以修复 Cross App Scripting 漏洞问题?
禁用 javascript 无法解决问题。例如,如果您插入 html 会发生什么?可能会损坏您的应用或网站。
最好的办法是将所有数据验证为恶意数据,直到通过其他方式验证...
我不是真正的移动开发人员,但我相信您可以添加一些方法来验证您处理的来源... Javascript Web 令牌是处理此类身份验证的一种方法。也许有更多 android 开发经验的人可以纠正我?
好吧,当您完全禁用脚本 (js) 时,交叉 脚本 将不起作用...查看 link 下选项 2 中的要点:全部与 JS 相关并以某种方式限制其使用。当你完全禁用 JS 时,就没有什么可以限制的了——脚本只是不起作用(也是恶意的)
请注意,有很多方法可以破坏您的应用程序,WebView 可能有两倍...
正如 https://support.google.com/faqs/answer/9084685 提到的,“启用 JavaScript 并加载从不受信任的 Intent 读取的数据的 WebView 可能会被恶意应用程序欺骗,从而在不安全的上下文中执行 JavaScript 代码。”
这是否意味着 setJavaScriptEnabled(false) 可以修复 Cross App Scripting 漏洞问题?
禁用 javascript 无法解决问题。例如,如果您插入 html 会发生什么?可能会损坏您的应用或网站。
最好的办法是将所有数据验证为恶意数据,直到通过其他方式验证...
我不是真正的移动开发人员,但我相信您可以添加一些方法来验证您处理的来源... Javascript Web 令牌是处理此类身份验证的一种方法。也许有更多 android 开发经验的人可以纠正我?
好吧,当您完全禁用脚本 (js) 时,交叉 脚本 将不起作用...查看 link 下选项 2 中的要点:全部与 JS 相关并以某种方式限制其使用。当你完全禁用 JS 时,就没有什么可以限制的了——脚本只是不起作用(也是恶意的)
请注意,有很多方法可以破坏您的应用程序,WebView 可能有两倍...