亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Android Webview Java和Javascript安全交互方法是什么

發布時間:2021-11-20 13:31:27 來源:億速云 閱讀:201 作者:iii 欄目:移動開發

這篇文章主要講解了“Android Webview Java和Javascript安全交互方法是什么”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Android Webview Java和Javascript安全交互方法是什么”吧!

Android Webview漏洞

Android Webview有兩個非常知名的漏洞:

  • 最近爆出來的UXSS漏洞,可以越過同源策略,獲得任意網頁的Cookie等信息,Android 4.4以下都有此問題,基本無解,只能重新編譯瀏覽器內核解決,詳情可以參考最近移動安全三兩事,感興趣的可以去看一下@RAyH4c劫持微博、QQ空間的視頻。

  • 成名已久的任意命令執行漏洞,通過addJavascriptInterface方法,Js可以調用Java對象方法,通過反射機制,Js可以直接獲取Runtime,從而執行任意命令。Android 4.2以上,可以通過聲明@JavascriptInterface保證安全性,4.2以下不能再調用addJavascriptInterface,需要另謀他法。

Java和Javascript安全交互

首先要說明幾點:

1.Android Webview中Java調用Js方法很容易,loadUrl("javascript:isOk()")就可以調用isOk這個Js方法,但不能直接獲取Js方法的返回結果。

class JsObject {        @JavascriptInterface        public String toString() { return "injectedObject"; }     }     webView.addJavascriptInterface(new JsObject(), "injectedObject");     webView.loadData("", "text/html", null);     webView.loadUrl("javascript:alert(injectedObject.toString())");

2.傳統的方法中,Js獲取Java信息可以采用如下方式:

import android.app.Activity; import android.graphics.Bitmap; import android.os.Bundle; import android.util.Log; import android.webkit.WebView; import android.webkit.WebViewClient;  public class HtmlSource extends Activity {     private WebView webView;      @Override     public void onCreate(Bundle savedInstanceState) {         super.onCreate(savedInstanceState);         setContentView(R.layout.main);         webView = (WebView)findViewById(R.id.webview);         webView.getSettings().setJavaScriptEnabled(true);         webView.addJavascriptInterface(new InJavaScriptLocalObj(), "local_obj");         webView.setWebViewClient(new MyWebViewClient());         webView.loadUrl("http://www.cnblogs.com/hibraincol/");     }      final class MyWebViewClient extends WebViewClient{           public boolean shouldOverrideUrlLoading(WebView view, String url) {                view.loadUrl(url);                return true;            }           public void onPageStarted(WebView view, String url, Bitmap favicon) {             Log.d("WebView","onPageStarted");             super.onPageStarted(view, url, favicon);         }             public void onPageFinished(WebView view, String url) {             Log.d("WebView","onPageFinished ");             view.loadUrl("javascript:window.local_obj.showSource('<head>'+" +                 "document.getElementsByTagName('html')[0].innerHTML+'</head>');");             super.onPageFinished(view, url);         }     }      final class InJavaScriptLocalObj {          public void showSource(String html) {             Log.d("HTML", html);         }     } }

3.當網頁中有超鏈接跳轉時,將會調用WebClient的shouldOverrideUrlLoading方法,若設置 WebViewClient 且該方法返回 true,則說明由應用的代碼處理該 url,WebView 不處理,就可以達到攔截跳轉的效果。

明白了上面幾點,我們可以總結出一個比較安全的Java和Js交互方式

可以借鑒Android Intent的思路,Java和Js定義一個url格式如js://_,Java調用Js方法,在Js方法中通過window.location.href='js://_?key=value#key1=value1'模擬跳轉,被Java的shouldOverrideUrlLoading捕獲,函數的返回值可以放在url的參數中。(Js調用Java方法原理相同)

這樣的交互方式是異步的,如果你想知道調用一個Js方法是否返回了值怎么辦?一般Java調用Js方法是在onPageFinished方法中,獲得Js返回值是在shouldOverrideUrlLoading方法中,兩個方法有個共同的參數webview,所以可以首先webview.setTag(false),如果捕獲到返回結果,則webview.setTag(true),postDelayed在很短時間比如300毫秒后,webview.getTag()檢查是否有變化即可。

感謝各位的閱讀,以上就是“Android Webview Java和Javascript安全交互方法是什么”的內容了,經過本文的學習后,相信大家對Android Webview Java和Javascript安全交互方法是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

邓州市| 福泉市| 斗六市| 长武县| 定兴县| 贵州省| 洪湖市| 海淀区| 临海市| 屏山县| 东乌| 偏关县| 公安县| 蒙自县| 汉沽区| 金湖县| 平邑县| 新邵县| 商城县| 东兰县| 临桂县| 富蕴县| 斗六市| 增城市| 南溪县| 嘉荫县| 海原县| 巴塘县| 孟津县| 鄂托克旗| 东乡族自治县| 宽城| 孟州市| 博乐市| 平江县| 卫辉市| 集贤县| 榕江县| 徐汇区| 亚东县| 闽清县|