Voor mijn Android-app gebruik ik een webview om mijn website weer te geven en ik heb een javscriptinterface-object gemaakt om te communiceren met de app en website. Ik wil andere gebruikers toestaan om iframe in mijn website te plaatsen, maar ik dacht na of ze vanuit deze iframes toegang kunnen krijgen tot mijn JS-interfaceobject? Hoe kan ik dit beveiligingsprobleem zo mogelijk oplossen?
2021-02-16 08:20:18
Ja - al het JavaScript in een WebView heeft toegang tot dezelfde JavaScript-interface, ongeacht de server waarvan het afkomstig is, omdat het lokaal wordt uitgevoerd.
U kunt dit testen door twee Python SimpleHTTPServer-instanties op verschillende poorten over een lokaal netwerk uit te voeren: ze worden als verschillende hosts beschouwd (een XMLHttpRequest zal bijvoorbeeld resulteren in een cross-origin request-fout), maar u kunt nog steeds methoden aanroepen vanuit Javascript, zelfs met uw iframe afkomstig van een andere host.
Tot dusver heb ik geen manier kunnen vinden om dit te omzeilen. De Android-documenten bevelen aan "addJavaScriptInterface () alleen bloot te stellen aan JavaScript dat is opgenomen in uw applicatie-APK", maar er wordt niet vermeld hoe u dit kunt bereiken.
Aangezien het Java-object wordt doorgegeven aan Javascript en al het Javascript wordt uitgevoerd binnen de context van een WebView, denk ik dat het aan de Android-implementatie van WebView / WebViewProvider is om een dergelijke methode te bieden, maar Marshmallow's addJavascriptInterface () is leeg wat betreft het Java-framework (zie WebView.java en WebViewProvider.java). Vroeger was het niet zo, dus misschien is dat wanneer het beveiligingsdocument van.
Ik denk dat er een speciale techniek kan worden gebruikt. De webpagina kan bijvoorbeeld een methode aanroepen om uw API te ontgrendelen. De inbeddingsapplicatie moet de evaluJavascript-methode aanroepen die in het hoofdframe wordt uitgevoerd en een beveiligingssleutel doorgeven aan de JavaScript-wereld van het hoofdframe. Alle aanroepen van de API-methode moeten verzoeken met deze sleutel als parameter.
Uw antwoord
StackExchange.ifUsing ("editor", function () {
StackExchange.using ("externalEditor", function () {
StackExchange.using ("snippets", function () {
StackExchange.snippets.init ();
}, "code-snippets");
StackExchange.ready (function () {
var channelOptions = {
tags: "" .split (""),
id: "1"
initTagRenderer ("". split (""), "" .split (""), channelOptions);
StackExchange.using ("externalEditor", function () {
// Moet de editor na fragmenten activeren, als fragmenten zijn ingeschakeld
if (StackExchange.settings.snippets.snippetsEnabled) {
StackExchange.using ("snippets", function () {
createEditor ();
anders {
createEditor ();
functie createEditor () {
StackExchange.prepareEditor ({
useStacksEditor: false,
heartbeatType: 'antwoord',
autoActivateHeartbeat: false,
convertImagesToLinks: waar,
noModals: waar,
showLowRepImageUploadWarning: true,
ReputationToPostImages: 10,
bindNavPrevention: true,
postfix: "",
imageUploader: {
brandingHtml: "Aangedreven door \ u003ca href = \" https: //imgur.com/ \ "\ u003e \ u003csvg class = \" svg-icon \ "width = \" 50 \ "hoogte = \" 18 \ "viewBox = \ "0 0 50 18 \" fill = \ "none \" xmlns = \ "http: //www.w3.org/2000/svg \" \ u003e \ u003cpath d = \ "M46.1709 9.17788C46.1709 8.26454 46.2665 7.94324 47.1084 7.58816C47.4091 7.46349 47.7169 7.36433 48.0099 7.26993C48.9099 6.97997 49.672 6.73443 49.672 5.93063C49.672 5.22043 48.9832 4.61182 48.1414 4.61182C47.4335 4.61182 46.7256 4.91628 46.0943 5.000 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \ "/ \ u003e \ u003cpath d = \" M32.492 10.1419C32.492 14.045.14.07 37.045 14.045.14.07. 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.520455 37.0451 11.5954.545.85.8 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \ "/ \ u003e \ u003cpath-regel = \" evenodd \ "clip-rule = \" evenodd \ "d = \ "M25.6622 17.6335C27.8049 17.6335 29.3739 16.9402 30.2537 15.6379C30.8468 14.7755 30.9615 13.5579 30.9615 11.9512V6.59049C30.9615 5.28821 30.4833 4.66231 29.4502 4.66231C28.9913 4.63.7031 28.455 .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13.913 25.3754 13.913C26.5612 13.913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.121 12.8346C28 ... 15.2321 24.1352 14.9821 23.5661 14.7787C23.176 14.6393 22.8472 14.5218 22.5437 14.5218C21.7977 14.5218 21.2429 15.0123 21.2429 15.6887C21.2429 16.7375 22.9072 17.6335 25.6622 17.6335Z79C24.13 26.6335Z79C24.13 27.2119 7.09766 28.0918 7.94324 28.0918 9.27932C28.0918 10.6321 27.2311 11.5116 26.1024 11.5116C24.9737 11.5116 24.1317 10.6491 24.1317 9.27932Z \ "/ \ u003e \ u003cpath d = \" M16.8045 11.862.862.806 13.862.862.862 13.862 13.862.862.862 13.862.862.16.862 13.862.86.86.18.13.13.13.13.13.13.13.13.13.13.13.13.13.13.13.13.13.16.86.16.86 13.862 13.862.16.80 19.8079 13.2535 19.8079 11.9512V8.12928C19.8079 5.82936 18.4879 4.62866 16.4027 4.62866C15.1594 4.62866 14.279 4.98375 13.3609 5.88013C12.653 5.05154 11.6581 4.62866 10.3573 4.62866C9.7.94336 4.62866 8.57809 4.899315.5079C7.58314 4.9328 7.10506 4.66232 6.51203 4.66232C5.47873 4.66232 5.00066 5.28821 5.00066 6.59049V11.9512C5. 7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.3711 13.8962 12.4044 13.8962C13.4375 ... 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119. = \ `` M3.31675 6.59049C3.31675 5.28821 2.83866 4.66232 1.82471 4.66232C0.791758 4.66232 0.313354 5.28821 .313354 13.2535 0.791758 13.8962 1.82471 13.8962C2.85798 13.8352 \ u0031675 \ u200b \ u200b3. U003cpath d = “M1.87209 0.400291C0.843612 0.400291 0 1.1159 0 1.98861C0 2.87869 0.822846 3.87869 0.822846 3.57.687 7220 1,1159 = 2,90056 0,400291 1,87Z "# 1BB76E \" / \ u003e \ u003c / svg \ u003e \ u003c / a \ u003e ",
contentPolicyHtml: "Gebruikersbijdragen gelicentieerd onder \ u003ca href = \" https: //stackoverflow.com/help/licensing \ "\ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \" https://stackoverflow.com / legal / content-policy \ "\ u003e (contentbeleid) \ u003c / a \ u003e",
allowUrls: waar
onDemand: waar,
discardSelector: ".discard-answer"
, onmiddellijkShowMarkdownHelp: true, enableTables: true, enableSnippets: true
Bedankt voor het bijdragen aan Stack Overflow!
Zorg ervoor dat u de vraag beantwoordt. Geef details en deel uw onderzoek!
Maar vermijd ...
Om hulp, opheldering vragen of reageren op andere antwoorden.
Uitspraken doen op basis van meningen; Maak er een back-up van met referenties of persoonlijke ervaring.
Bekijk onze tips voor het schrijven van goede antwoorden voor meer informatie.
Concept opgeslagen
Concept verwijderd
Meld u aan of log in
StackExchange.ready (function () {
StackExchange.helpers.onClickDraftSave ('# login-link');
Meld u aan met Google
Meld u aan met Facebook
Meld u aan met e-mail en wachtwoord
Verzenden
Post als gast
Naam
E-mail
Vereist, maar nooit getoond
StackExchange.ready (
functie () {
StackExchange.openid.initPostLogin ('. New-post-login', 'https% 3a% 2f% 2fstackoverflow.com% 2fquestions% 2f31548182% 2fcan-iframes-inside-my-website-can-access-the-webview-js- bridge-object% 23new-answer ',' question_page ');
Post als gast
Naam
E-mail
Vereist, maar nooit getoond
Plaats uw antwoord
Gooi weg
Door op "Plaats uw antwoord" te klikken, gaat u akkoord met onze servicevoorwaarden, privacybeleid en cookiebeleid
Niet het antwoord waar je naar zoekt? Blader door andere vragen met de tag javascript android iframe webview xss of stel uw eigen vraag.