对于我的android应用程序,我正在使用Webview渲染我的网站,并且创建了一个javscriptinterface对象与应用程序和网站进行通信。我想允许其他用户将iframe放入我的网站,但是我在考虑是否可以从这些iframe中访问我的JS接口对象? 如果可能,如何解决此安全问题?
是的-WebView中的所有JavaScript都可以访问相同的JavaScript接口,而不管它来自哪个服务器,因为它是在本地执行的。
您可以通过在本地网络上不同端口上运行两个Python SimpleHTTPServer实例来进行测试:它们被视为不同的主机(例如XMLHttpRequest会导致跨域请求错误),但是即使您使用来自其他主机的iframe。
到目前为止,我还没有找到规避此问题的方法。 Android文档建议“仅将addJavaScriptInterface()公开给应用程序APK中包含的JavaScript”,但不提及如何实现。
随着Java对象传递给Javascript,并且所有Javascript都在WebView的上下文中执行,我想这取决于提供此方法的WebView / WebViewProvider的Android实现,但是棉花糖的addJavascriptInterface()就Java框架而言为空(请参阅WebView.java和WebViewProvider.java)。它曾经不是,所以也许那是安全文档来自的时候。
|
我猜可能会采用一种特殊的技术。例如,网页可能会调用一种方法来解锁您的API。嵌入应用程序应调用将在主机框架中执行的评估Javascript方法,并将安全密钥传递给主机框架的JavaScript世界。所有对API方法的调用都应将此键作为参数进行请求。
|
你的答案
StackExchange.ifUsing(“ editor”,function(){
StackExchange.using(“ externalEditor”,function(){
StackExchange.using(“ snippets”,function(){
StackExchange.snippets.init();
});
});
},“代码段”);
StackExchange.ready(function(){
var channelOptions = {
标签:“” .split(“”),
id:“ 1”
};
initTagRenderer(“”。split(“”),“” .split(“”),channelOptions);
StackExchange.using(“ externalEditor”,function(){
//如果启用了摘要,则必须在摘要后触发编辑器
如果(StackExchange.settings.snippets.snippetsEnabled){
StackExchange.using(“ snippets”,function(){
createEditor();
});
}
别的 {
createEditor();
}
});
函数createEditor(){
StackExchange.prepareEditor({
useStacksEditor:否,
heartbeatType:“答案”,
autoActivateHeartbeat:否,
convertImagesToLinks:是,
noModals:是的,
showLowRepImageUploadWarning:是的,
声望:ToPostImages:10,
bindNavPrevention:正确,
后缀:“”,
imageUploader:{
brandingHtml:“由\ u003ca href = \“ https://imgur.com/ \” \ u003e \ u003csvg class = \“ svg-icon \” width = \“ 50 \” height = \“ 18 \” viewBox = \“ 0 0 50 18 \” fill = \“ none \” xmlns = \“ http://www.w3.org/2000/svg \” \ u003e \ u003cpath d =“ \ M46.1709 9.17788C46.1709 8.26454 46.2665 7.94324 47.1084 7.58816C47.4091 7.46349 47.7169 7.36433 48.0099 7.26993C48.9099 6.97997 49.672 6.73443 49.672 5.93063C49.672 5.22043 48.9832 4.61182 48.1414 4.61182C47.4335 4.61182 46.7256 4.91628 46.0943 5.50789C45.74.6 4.313.6412 4.313.6662 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \“ / \ u003e \ u003cpath d = \” M32.492 10.1419C32.492 12.6954 34.1182 14.048437.0451 14.0484 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0451 11.5455C35.8209 11.5455 35.4954 10.8 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \“ / \ u003e \ u003cpath fill-rule = \” evenodd \“ clip-rule = \” evenodd \“ d = \“ M25.6622 17.6335C27.8049 17.6335 29.3739 16.9402 30.2537 15.6379C30.8468 14.7755 30.9615 13.5579 30.9615 11.9512V6.59049C30.9615 5.28821 30.4833 4.66231 29.4502 4.66231C28.9913 4.66231 28.4555 4.94978 28.1109 5.50789C6.72.3 4.56087 .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13.913 25.3754 13.913C26.5612 13.913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.121 12.8346C28.1256 12.8854 28.1301 12.9342 28.1301 12.983C28.14.8349 15.2321 24.1352 14.9821 23.5661 14.7787C23.176 14.6393 22.8472 14.5218 22.5437 14.5218C21.7977 14.5218 21.2429 15.0123 21.2429 15.6887C21.2429 16.7375 22.9072 17.6335 25.6622 17.6335ZM24.1317 9.27932C24.1317 7.94324 24.9928 7.09766 6.69 27.2119 7.09766 28.0918 7.94324 28.0918 9.27932C28.0918 10.6321 27.2311 11.5116 26.1024 11.5116C24.9737 11.5116 24.1317 10.6491 24.1317 9.27932Z \“ / \ u003e \ u003cpath d = \” M16.8045 11.9512C16.8045 13.2535 17.2637 13.89629.31965 19.8079 13.2535 19.8079 11.9512V8.12928C19.8079 5.82936 18.4879 4.62866 16.4027 4.62866C15.1594 4.62866 14.279 4.98375 13.3609 5.88013C12.653 5.05154 11.6581 4.62866 10.3573 4.62866C9.34336 4.62866 8.57809 4.89931 7.94665.5079C7.58314 4.9328 7.10506 4.66232 6.51203 4.66232 4.66232C5.47873 5.00066 5.28821 5.00066 6.59049V11.9512C5。7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.3711 13.8962 12.4044 13.8962 13.8962C13.4375 13.9157 13.2535 13.9157 11.9512V8.90741C13.9157 7.58817 14.3365 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119。= \``M3.31675 6.59049C3.31675 5.28821 2.83866 4.66232 1.82471 4.66232 4.66232C0.791758 0.313354 5.28821 0.313354 6.59049V11.9512C0 0.313354 13.2535 0.791758 13.8962 1.82471 13.8962C2.85798 13.8352 \ u0031675 \ u200b \ u200b3。u003cpath d =“M1.87209 0.400291C0.843612 0.400291 0 1.1159 0 1.98861C0 2.87869 0.822846 3.57676 1.87209 3.57676 3.57676C2.90056 3.7234 2.87869 3.7234 1.98861C3。 7220 1.1159 = 2.90056 0.400291 1.87Z “#1BB76E \”/ \ u003e \ u003c / SVG \ u003e \ u003c / A \ u003e”,
contentPolicyHtml:“根据\ u003ca href = \许可的用户贡献” https://stackoverflow.com/help/licensing \“ \ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \” https://stackoverflow.com /法律/内容政策\“ \ u003e(内容政策)\ u003c / a \ u003e”,
allowUrls:是
},
onDemand:是的,
throwSelector:“。discard-answer”
,立即ShowMarkdownHelp:true,enableTables:true,enableSnippets:true
});
}
});
感谢您为Stack Overflow提供答案!
请务必回答问题。提供详细信息并分享您的研究!
但是要避免...
寻求帮助,澄清或回答其他答案。
根据意见发表声明;用参考或个人经验来备份它们。
要了解更多信息,请参阅有关编写出色答案的提示。
草稿已保存
草稿丢弃
注册或登录
StackExchange.ready(function(){
StackExchange.helpers.onClickDraftSave('#login-link');
});
使用Google注册
使用Facebook注册
注册使用的电子邮件和密码
提交
以访客身份发布
姓名
电子邮件
必需,但从未显示
StackExchange.ready(
功能 () {
StackExchange.openid.initPostLogin('.New-post-login','https%3a%2f%2fstackoverflow.com%2fquestions%2f31548182%2fcan-iframes-inside-my-website-can-access-the-webview-js- bridge-object%23new-answer','question_page');
}
);
以访客身份发布
姓名
电子邮件
必需,但从未显示
发表您的答案
丢弃
点击“发布答案”,即表示您同意我们的服务条款,隐私政策和Cookie政策
不是您要找的答案?浏览标记为javascript android iframe webview xss的其他问题,或提出您自己的问题。