15149
6292 
Til min Android-app bruger jeg en webvisning til at gengive mit websted, og jeg har oprettet et javscriptinterface-objekt til at kommunikere med app og websted. Jeg vil tillade andre brugere at placere iframe inde på mit websted, men jeg tænkte på, om de fra disse iframes kan få adgang til mit JS-interface-objekt?
Hvis det er muligt, hvordan man løser dette sikkerhedsproblem?
2021-02-16 08:20:11 
Ja - al JavaScript i en WebView har adgang til den samme JavaScript-interface, uanset hvilken server den kommer fra, fordi den udføres lokalt.
Du kan teste dette ved at køre to Python SimpleHTTPServer-forekomster på forskellige porte over et lokalt netværk: de betragtes som forskellige værter (en XMLHttpRequest vil for eksempel resultere i en kryds-origin-anmodningsfejl), men du kan stadig kalde metoder fra Javascript selv med din iframe, der kommer fra en anden vært.
Indtil videre har jeg ikke været i stand til at finde en måde at omgå dette på. Android docs anbefaler "kun at udsætte addJavaScriptInterface () for JavaScript, der er indeholdt i din applikations APK", men ingen omtale af, hvordan du opnår dette.
Da Java-objektet sendes videre til Javascript, og alt Javascript udføres inden for rammerne af en WebView, vil jeg gætte, at det er op til Android-implementeringen af ​​WebView / WebViewProvider at give en sådan metode, men Marshmallows addJavascriptInterface () er tom for så vidt angår Java-rammen (se WebView.java og WebViewProvider.java). Det plejede ikke at være, så måske var det da sikkerhedsdokumentet er fra.
|
Jeg antager, at der muligvis anvendes en speciel teknik. For eksempel kan websiden muligvis kalde en metode til at låse din API op. Indlejringsapplikationen skal kalde evaluere JavaScript-metoden, der udføres i hovedrammen og videregive en sikkerhedsnøgle til JavaScript-verdenen i hovedrammen. Alle opkald til API-metoden skal anmode om med denne nøgle som parameter.
|
Dit svar
StackExchange.ifUsing ("editor", funktion () {
StackExchange.using ("externalEditor", funktion () {
StackExchange.using ("uddrag", funktion () {
StackExchange.snippets.init ();
});
});
}, "kodestykke");
StackExchange.ready (funktion () {
var channelOptions = {
tags: "" .split (""),
id: "1"
};
initTagRenderer ("". split (""), "" .split (""), channelOptions);
StackExchange.using ("externalEditor", funktion () {
// Skal redigere editoren efter uddrag, hvis uddrag er aktiveret
hvis (StackExchange.settings.snippets.snippetsEnabled) {
StackExchange.using ("uddrag", funktion () {
createEditor ();
});
}
andet {
createEditor ();
}
});
funktion createEditor () {
StackExchange.prepareEditor ({
useStacksEditor: falsk,
heartbeatType: 'svar',
autoActivateHeartbeat: false,
convertImagesToLinks: sand,
noModals: sandt,
showLowRepImageUploadWarning: true,
reputToPostImages: 10,
bindNavPrevention: true,
postfix: "",
imageUploader: {
brandingHtml: "Drevet af \ u003ca href = \" https: //imgur.com/ \ "\ u003e \ u003csvg class = \" svg-icon \ "width = \" 50 \ "height = \" 18 \ "viewBox = \ "0 0 50 18 \" fill = \ "none \" xmlns = \ "http: //www.w3.org/2000/svg \" \ u003e \ u003cpath d = \ "M46.1709 9.17788C46.1709 8.26454 46.2665 7.94324 47.1084 7.58816C47.4091 7.46349 47.7169 7.36433 48.0099 7.26993C48.9099 6.97997 49.672 6.73443 49.672 5.93063C49.672 5.22043 48.9832 4.61182 48.1414 4.61182C47.4335 4.61182 46.72543 4.30 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \ "/ \ u003e \ u003cpath d = \" M32.492 10.1419C32.44.064.014 12.6 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0451 11.545.5 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \ "/ \ u003e \ u003cpath fill-rule = \" evenodd \ "clip-rule = \" evend = \ "M25.6622 17.6335C27.8049 17.6335 29.3739 16.9402 30.2537 15.6379C30.8468 14.7755 30.9615 13.5579 30.9615 11.9512V6.59049C30.9615 5.28821 30.4833 4.66231 29.4502 4.66231C28.9913.410.56 4.2623 .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13.913 25.3754 13.913C26.5612 13.913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.121 12.8346C28.125.230.125 15.2321 24.1352 14.9821 23.5661 14.7787C23.176 14.6393 22.8472 14.5218 22.5437 14.5218C21.7977 14.5218 21.2429 15.0123 21.2429 15.6887C21.2429 16.7375 22.9072 17.6335 25.6622 17.6335Z24.124 27.2119 7.09766 28.0918 7.94324 28.0918 9.27932C28.0918 10.6321 27.2311 11.5116 26.1024 11.5116C24.9737 11.5116 24.1317 10.6491 24.1317 9.27932Z \ "/ \ u003e \ u003cpath d = \" M16.8045 11.9512C16.280.26 13.45 19.8079 13.2535 19.8079 11.9512V8.12928C19.8079 5.82936 18.4879 4.62866 16.4027 4.62866C15.1594 4.62866 14.279 4.98375 13.3609 5.88013C12.653 5.05154 11.6581 4.62866 10.3573 4.62866C9.34336 4.62866 8.5.9465.5079C7.58314 4.9328 7.10506 4.66232 6.51203 4.66232C5.47873 4.66232 5.00066 5.28821 5.00066 6.59049V11.9512C5. 7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.3711 13.8962 12.4044 13.915.796133 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119. = \ `` M3.31675 6.59049C3.31675 5.28821 2.83866 4.66232 1.82471 4.66232C0.723 .313354 13.2535 0.791758 13.8962 1.82471 13.8962C2.85798 13.8352 \ u0031675 \ u200b \ u200b3. U003cpath d = “M1.87209 0.400291C0.843612 0.400291 0 1.1159 0 1.98861C0 2.87869 0.8228463.667677676 7220 1.1159 = 2.90056 0.400291 1.87Z "# 1BB76E \" / \ u003e \ u003c / svg \ u003e \ u003c / a \ u003e ",
contentPolicyHtml: "Brugerbidrag licenseret under \ u003ca href = \" https: //stackoverflow.com/help/licensing \ "\ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \" https://stackoverflow.com / legal / content-policy \ "\ u003e (content policy) \ u003c / a \ u003e",
allowUrls: sandt
},
onDemand: sandt,
discardSelector: ".discard-answer"
, straksShowMarkdownHelp: true, enableTables: true, enableSnippets: true
});
}
});
Tak for dit bidrag til Stack Overflow!
Sørg for at besvare spørgsmålet. Giv detaljer og del din forskning!
Men undgå ...
At bede om hjælp, afklaring eller svar på andre svar.
At afgive udsagn baseret på mening; Sikkerhedskopier dem med referencer eller personlig erfaring.
For at lære mere, se vores tip til at skrive gode svar.
Kladde gemt
Udkast kasseret
Tilmeld dig eller log ind
StackExchange.ready (funktion () {
StackExchange.helpers.onClickDraftSave ('# login-link');
});
Tilmeld dig ved hjælp af Google
Tilmeld dig ved hjælp af Facebook
Tilmeld dig ved hjælp af e-mail og adgangskode
Indsend
Send som gæst
Navn
E-mail
Påkrævet, men aldrig vist
StackExchange.ready (
funktion () {
StackExchange.openid.initPostLogin ('. New-post-login', 'https% 3a% 2f% 2fstackoverflow.com% 2fquestions% 2f31548182% 2fcan-iframes-inside-my-website-can-access-the-webview-js- bro-objekt% 23nyt-svar ',' spørgsmål_side ');
}
);
Send som gæst
Navn
E-mail
Påkrævet, men aldrig vist
Send dit svar
Kassér
Ved at klikke på "Send dit svar" accepterer du vores servicevilkår, fortrolighedspolitik og cookiepolitik
Er det ikke det svar, du leder efter? Gennemse andre spørgsmål mærket javascript android iframe webview xss eller stil dit eget spørgsmål.