Μπορούν τα iframes μέσα στον ιστότοπό μου να έχουν πρόσβαση στο αντικείμενο γέφυρας webview-js;

Ναι - όλη η JavaScript σε μια προβολή Web έχει πρόσβαση στην ίδια διεπαφή JavaScript, ανεξάρτητα από τον διακομιστή από τον οποίο προέρχεται, επειδή εκτελείται τοπικά.
Μπορείτε να το δοκιμάσετε εκτελώντας δύο παρουσίες διακομιστή Python SimpleHTTPS σε διαφορετικές θύρες μέσω τοπικού δικτύου: θεωρούνται διαφορετικοί κεντρικοί υπολογιστές (για παράδειγμα το XMLHttpRequest θα οδηγήσει σε σφάλμα αιτήματος πολλαπλής προέλευσης), αλλά μπορείτε ακόμα να καλέσετε μεθόδους από το Javascript ακόμα και με το δικό σας iframe που προέρχεται από διαφορετικό κεντρικό υπολογιστή.
Μέχρι στιγμής δεν κατάφερα να βρω έναν τρόπο να το παρακάμψω. Τα έγγραφα Android προτείνουν "να εκθέσετε το addJavaScriptInterface () μόνο σε JavaScript που περιέχεται στο APK της εφαρμογής σας", αλλά δεν αναφέρουμε πώς να το επιτύχετε.
Καθώς το αντικείμενο Java μεταβιβάζεται στο Javascript και όλο το Javascript εκτελείται στο πλαίσιο ενός WebView, υποθέτω ότι εξαρτάται από την εφαρμογή Android του WebView / WebViewProvider να παρέχει μια τέτοια μέθοδο, αλλά το addJavascriptInterface () του Marshmallow είναι κενό για το πλαίσιο Java (βλ. WebView.java και WebViewProvider.java). Δεν ήταν κάποτε, οπότε ίσως τότε είναι από το έγγραφο ασφαλείας.
|
Υποθέτω ότι μπορεί να χρησιμοποιηθεί μια ειδική τεχνική. Για παράδειγμα, η ιστοσελίδα ενδέχεται να καλέσει μια μέθοδο για το ξεκλείδωμα του API σας. Η εφαρμογή ενσωμάτωσης θα πρέπει να καλέσει τη μέθοδο evaluJavascript που θα εκτελεστεί στο κύριο πλαίσιο και θα μεταβιβάσει ένα κλειδί ασφαλείας στον κόσμο JavaScript του κύριου πλαισίου. Όλες οι κλήσεις προς τη μέθοδο API πρέπει να ζητούν με αυτό το κλειδί ως παράμετρο.
|
Η απάντησή σου
StackExchange.ifUsing ("πρόγραμμα επεξεργασίας", συνάρτηση () {
StackExchange.using ("externalEditor", συνάρτηση () {
StackExchange.using ("snippets", function () {
StackExchange.snippets.init ();
});
});
}, "κώδικα-αποσπάσματα");
StackExchange.ready (λειτουργία () {
var channelOptions = {
ετικέτες: "" .split (""),
αναγνωριστικό: "1"
};
initTagRenderer ("". split (""), "" .split (""), channelOptions);
StackExchange.using ("externalEditor", συνάρτηση () {
// Πρέπει να ενεργοποιήσετε το πρόγραμμα επεξεργασίας μετά από αποσπάσματα, εάν είναι ενεργοποιημένα τα αποσπάσματα
εάν (StackExchange.settings.snippets.snippetsEnabled) {
StackExchange.using ("snippets", function () {
createEditor ();
});
}
αλλιώς {
createEditor ();
}
});
συνάρτηση createEditor () {
StackExchange.prepareEditor ({
useStacksEditor: false,
Τύπος καρδιακού παλμού: «απάντηση»,
autoActivateHeartbeat: false,
convertImagesToLinks: αλήθεια,
noModals: αλήθεια,
showLowRepImageUploadWarning: αλήθεια,
φήμηToPostImages: 10,
bindNavPrevention: αλήθεια,
μετά την επιδιόρθωση: "",
imageUploader: {
brandingHtml: "Powered by \ u003ca href = \" https: //imgur.com/ \ "\ u003e \ u003csvg class = \" svg-icon \ "width = \" 50 \ "ύψος = \" 18 \ "viewBox = \ "0 0 50 18 \" fill = \ "none \" xmlns = \ "http: //www.w3.org/2000/svg \" \ u003e \ u003cpath d = \ "M46.1709 9.17788C46.1709 8.26454 46,2665 7,94324 47,1084 7.58816C47.4091 7,46349 47,7169 7,36433 48,0099 7.26993C48.9099 6,97997 49,672 6,73443 49,672 5.93063C49.672 5,22043 48,9832 4,61182 48,1414 4.61182C47.4335 4,61182 46,7256 4,91628 46,0943 5.50789C45.7307 4,9328 45,2525 4,66231 44,6595 4.66231C43.6264 4,66231 43,1481 5,28821 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \ "/ \ u003e \ u003cpath d = \" M32.492 10.141941444414441444144414441444144414441444144444144.44444144441444144441444441444144444144.44414441444144 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0451 11.44 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \ "/ \ u003e \ u003cpath fill-rule = \" evenodd \ "even-clip \ κανόνας \" = \ "M25.6622 17.6335C27.8049 17.6335 29.3739 16.9402 30.2537 15.6379C30.8468 14.7755 30.9615 13.5579 30.9615 11.9512V6.59049C30.9615 5.28821 30.4833 4.66231 29.4502 4.66231C28.9913 4.778 4.779.577 4.8238 4.779.577. .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13.913 25.3754 13.913C26.5612 13.913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.121 12.8346C28.125.132.131.131.131.131.132 15.2321 24.1352 14.9821 23.5661 14.7787C23.176 14.6393 22.8472 14.5218 22.5437 14.5218C21.7977 14.5218 21.2429 15.0123 21.2429 15.6887C21.2429 16.7375 22.9072 17.6335 25.6622 17.63357247.224.77.2249.2249.224.17244.2249.224.77.2249.224.77.2249.224.77.224.97.224.97.224.97.224.27.2249.2249 27.2119 7.09766 28.0918 7.94324 28.0918 9.27932C28.0918 10.6321 27.2311 11.5116 26.1024 11.5116C24.9737 11.5116 24.1317 10.6491 24.1317 9.27932Z \ "/ \ u003e \ u003cpath d = \" 1316935915935935915 19.8079 13.2535 19.8079 11.9512V8.12928C19.8079 5.82936 18.4879 4.62866 16.4027 4.62866C15.1594 4.62866 14.279 4.98375 13.3609 5.88013C12.653 5.05154 11.6581 4.62866 10.3573 4.62866C9.343 4.379 4.866 4.966 4.966 4.966 4.966 4.866 4.866 4.866 4.866 4.866 4.966 4.836.88.5.5079C7.58314 4.9328 7.10506 4.66232 6.51203 4.66232C5.47873 4.66232 5.00066 5.28821 5.00066 6.59049V11.9512C5. 7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.3711 13.8962 12.4013 13991313513135131391313913139131351313913135131391313913139131391313913139131391313913139131351391313 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119. = \ "M3.31675 6.59049C3.31675 5.28821 2.83866 4.66232 1.82471 4.662324356354326354356354 .313354 13,2535 0,791758 13,8962 1,82471 13,8962C2,85798 13,8352 \ u0031675 \ u200b \ u200b3. 7220 1.1159 = 2.90056 0.400291 1.87Z "# 1BB76E \" / \ u003e \ u003c / svg \ u003e \ u003c / a \ u003e ",
contentPolicyHtml: "Συνεισφορές χρηστών με άδεια βάσει \ u003ca href = \" https: //stackoverflow.com/help/licensing \ "\ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \" https://stackoverflow.com / legal / content-policy \ "\ u003e (πολιτική περιεχομένου) \ u003c / a \ u003e",
allowUrls: αλήθεια
},
onDemand: αλήθεια,
discardSelector: ".discard-answer"
, αμέσωςShowMarkdownHelp: true, enableTables: true, enableSnippets: true
});
}
});
Ευχαριστούμε για τη συμβολή σας στο Stack Overflow!
Μην ξεχάσετε να απαντήσετε στην ερώτηση. Δώστε λεπτομέρειες και μοιραστείτε την έρευνά σας!
Αλλά αποφύγετε…
Ζητώντας βοήθεια, διευκρίνιση ή απάντηση σε άλλες απαντήσεις.
Διατύπωση δηλώσεων βάσει γνώμης · Δημιουργήστε αντίγραφα ασφαλείας με αναφορές ή προσωπική εμπειρία.
Για να μάθετε περισσότερα, δείτε τις συμβουλές μας για τη σύνταξη εξαιρετικών απαντήσεων.
Το πρόχειρο αποθηκεύτηκε
Το πρόχειρο απορρίφθηκε
Εγγραφείτε ή συνδεθείτε
StackExchange.ready (λειτουργία () {
StackExchange.helpers.onClickDraftSave ('# login-link');
});
Εγγραφείτε χρησιμοποιώντας το Google
Εγγραφείτε μέσω Facebook
Εγγραφείτε χρησιμοποιώντας το email και τον κωδικό πρόσβασης
υποβάλλουν
Δημοσίευση ως επισκέπτης
Ονομα
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Απαιτείται, αλλά δεν εμφανίζεται ποτέ
StackExchange. ήδη (
λειτουργία () {
StackExchange.openid.initPostLogin ('. New-post-login', 'https% 3a% 2f% 2fstackoverflow.com% 2fquestions% 2f31548182% 2fcan-iframes-inside-my-website-can-access-the-webview-js- bridge-object% 23new-answer ',' question_page ');
}
);
Δημοσίευση ως επισκέπτης
Ονομα
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Απαιτείται, αλλά δεν εμφανίζεται ποτέ
Δημοσιεύστε την απάντησή σας
Απορρίπτω
Κάνοντας κλικ στο "Δημοσίευση της απάντησής σας", αποδέχεστε τους όρους παροχής υπηρεσιών, την πολιτική απορρήτου και την πολιτική cookie
Δεν είναι η απάντηση που ψάχνετε; Περιηγηθείτε σε άλλες ερωτήσεις με ετικέτα javascript android iframe webview xss ή κάντε τη δική σας ερώτηση.