對於我的android應用程序,我正在使用Webview渲染我的網站,並且我創建了一個javscriptinterface對象與應用程序和網站進行通信。我想允許其他用戶將iframe放入我的網站,但是我在考慮是否可以從這些iframe中訪問我的JS接口對象? 如果可能,如何解決此安全問題?
是的-WebView中的所有JavaScript都可以訪問相同的JavaScript界面,而不管它來自哪個服務器,因為它是在本地執行的。
您可以通過在本地網絡上不同端口上運行兩個Python SimpleHTTPServer實例來進行測試:它們被視為不同的主機(例如XMLHttpRequest會導致跨域請求錯誤),但是即使您使用來自其他主機的iframe。
到目前為止,我還沒有找到規避此問題的方法。 Android文檔建議“僅將addJavaScriptInterface()公開給應用程序APK中包含的JavaScript”,但不要提及如何實現。
隨著Java對像傳遞給Javascript,並且所有Javascript都在WebView的上下文中執行,我想這取決於提供這種方法的WebView / WebViewProvider的Android實現,但是棉花糖的addJavascriptInterface()是就Java框架而言,該屬性為空(請參見WebView.java和WebViewProvider.java)。它曾經不是,所以也許那是安全文檔來自的地方。
|
我猜可能會採用一種特殊的技術。例如,網頁可能會調用一種方法來解鎖您的API。嵌入應用程序應調用將在主機框架中執行的評估Javascript方法,並將安全密鑰傳遞給主機框架的JavaScript世界。所有對API方法的調用都應將此鍵作為參數進行請求。
|
你的答案
StackExchange.ifUsing(“ editor”,function(){
StackExchange.using(“ externalEditor”,function(){
StackExchange.using(“ snippets”,function(){
StackExchange.snippets.init();
});
});
},“代碼段”);
StackExchange.ready(function(){
var channelOptions = {
標籤:“” .split(“”),
id:“ 1”
};
initTagRenderer(“”。split(“”),“” .split(“”),channelOptions);
StackExchange.using(“ externalEditor”,function(){
//如果啟用了摘要,則必須在摘要後觸發編輯器
如果(StackExchange.settings.snippets.snippetsEnabled){
StackExchange.using(“ snippets”,function(){
createEditor();
});
}
別的 {
createEditor();
}
});
函數createEditor(){
StackExchange.prepareEditor({
useStacksEditor:否,
heartbeatType:“答案”,
autoActivateHeartbeat:否,
convertImagesToLinks:是,
noModals:是的,
showLowRepImageUploadWarning:是的,
聲望:ToPostImages:10,
bindNavPrevention:正確,
後綴:“”,
imageUploader:{
brandingHtml:“採用\ u003ca href = \“ https://imgur.com/ \” \ u003e \ u003csvg class = \“ svg-icon \” width = \“ 50 \” height = \“ 18 \” viewBox = \“ 0 0 50 18 \” fill = \“ none \” xmlns = \“ http://www.w3.org/2000/svg \” \ u003e \ u003cpath d = \“ M46.1709 9.17788C46.1709 8.26454 46.2665 7.94324 47.1084 7.58816C47.4091 7.46349 47.7169 7.36433 48.0099 7.26993C48.9099 6.97997 49.672 6.73443 49.672 5.93063C49.672 5.22043 48.9832 4.61182 48.1414 4.61182C47.4335 4.61182 46.7256 4.91628 46.0943 5.50789C45.74.6 4.313.6412 4.313.6662 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \“ / \ u003e \ u003cpath d = \” M32.492 10.1419C32.492 12.6954 34.1182 14.048437.0451 14.0484 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0451 11.5455C35.8209 11.5455 35.4954 10.8 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \“ / \ u003e \ u003cpath fill-rule = \” evenodd \“ clip-rule = \” evenodd \“ d = \“ M25.6622 17.6335C27.8049 17.6335 29.3739 16.9402 30.2537 15.6379C30.8468 14.7755 30.9615 13.5579 30.9615 11.9512V6.59049C30.9615 5.28821 30.4833 4.66231 29.4502 4.66231C28.9913 4.66231 28.4555 4.94978 28.1109 5.50789C6.723 4.5608.787 .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13.913 25.3754 13.913C26.5612 13.913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.121 12.8346C28.1256 12.8854 28.1301 12.9342 28.1301 12.983C28.14.8349 15.2321 24.1352 14.9821 23.5661 14.7787C23.176 14.6393 22.8472 14.5218 22.5437 14.5218C21.7977 14.5218 21.2429 15.0123 21.2429 15.6887C21.2429 16.7375 22.9072 17.6335 25.6622 17.6335ZM24.1317 9.27932C24.1317 7.94324 24.9928 7.09766 26.1024 27.2119 7.09766 28.0918 7.94324 28.0918 9.27932C28.0918 10.6321 27.2311 11.5116 26.1024 11.5116C24.9737 11.5116 24.1317 10.6491 24.1317 9.27932Z \“ / \ u003e \ u003cpath d = \” M16.8045 11.9512C16.8045 13.2535 17.2637 13.89629.31965 19.8079 13.2535 19.8079 11.9512V8.12928C19.8079 5.82936 18.4879 4.62866 16.4027 4.62866C15.1594 4.62866 14.279 4.98375 13.3609 5.88013C12.653 5.05154 11.6581 4.62866 10.3573 4.62866C9.34336 4.62866 8.57809 4.89931 7.94665.5079C7.58314 4.9328 7.10506 4.66232 6.51203 4.66232C5.47873 4.66232 5.00066 5.28821 5.00066 6.59049V11.9512C5.7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.3711 13.8962 12.4044 13.8962C13.4375 13.8962 13.9157 13.335 1.3.915779959.95 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119。 .313354 13.2535 0.791758 13.8962 1.82471 13.8962C2.85798 13.8352 \ u0031675 \ u200b \ u200b3。u003cpath d =“ M1.87209 0.400291C0.843612 0.400291 0 1.1159 0 1.98861C0 2.87869 0.822846 3.57676 1.87209 3.57676C2.90056 1.76761 2.3.7234 2。 7220 1.1159 = 2.90056 0.400291 1.87Z “”#1BB76E \“ / \ u003e \ u003c / svg \ u003e \ u003c / a \ u003e”,
contentPolicyHtml:“根據\ u003ca href = \許可的用戶貢獻\“ https://stackoverflow.com/help/licensing \” \ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \“ https://stackoverflow.com /法律/內容政策\“ \ u003e(內容政策)\ u003c / a \ u003e”,
allowUrls:是
},
onDemand:是的,
dispatchSelector:“。discard-answer”
,立即ShowMarkdownHelp:true,enableTables:true,enableSnippets:true
});
}
});
感謝您為Stack Overflow提供答案!
請務必回答問題。提供詳細信息並分享您的研究!
但是要避免...
尋求幫助,澄清或回答其他答案。
根據意見發表聲明;用參考或個人經驗來備份它們。
要了解更多信息,請參閱有關編寫出色答案的提示。
草稿已保存
草稿丟棄
註冊或登錄
StackExchange.ready(function(){
StackExchange.helpers.onClickDraftSave('#login-link');
});
使用Google註冊
使用Facebook註冊
使用電子郵件和密碼註冊
提交
以訪客身份發布
姓名
電子郵件
必需,但從未顯示
StackExchange.ready(
功能 () {
StackExchange.openid.initPostLogin('.New-post-login','https%3a%2f%2fstackoverflow.com%2fquestions%2f31548182%2fcan-iframes-inside-my-website-can-access-the-webview-js- bridge-object%23new-answer','question_page');
}
);
以訪客身份發布
姓名
電子郵件
必需,但從未顯示
發表您的答案
丟棄
點擊“發布答案”,即表示您同意我們的服務條款,隱私政策和Cookie政策
不是您要找的答案?瀏覽標記為javascript android iframe webview xss的其他問題,或提出您自己的問題。