Para meu aplicativo Android, estou usando um webview para renderizar meu site e criei um objeto javscriptinterface para me comunicar com o aplicativo e o site. Quero permitir que outros usuários coloquem iframe dentro do meu site, mas estava pensando se a partir desses iframes eles podem acessar meu objeto de interface JS? Se possível, como corrigir esse problema de segurança?
2021-02-16 08:21:25
Sim - todo o JavaScript em um WebView tem acesso à mesma interface JavaScript, independentemente do servidor de origem, pois é executado localmente.
Você pode testar isso executando duas instâncias Python SimpleHTTPServer em portas diferentes em uma rede local: eles são considerados hosts diferentes (um XMLHttpRequest, por exemplo, resultará em um erro de solicitação de origem cruzada), mas você ainda pode chamar métodos de Javascript, mesmo com o seu iframe vindo de um host diferente.
Até agora, não consegui encontrar uma maneira de contornar isso. Os documentos do Android recomendam "expor addJavaScriptInterface () apenas para JavaScript contido no APK do aplicativo", mas nenhuma menção sobre como fazer isso.
Como o objeto Java é passado para o Javascript, e todo o Javascript é executado dentro do contexto de um WebView, acho que cabe à implementação do Android de WebView / WebViewProvider fornecer tal método, mas o addJavascriptInterface () do Marshmallow é vazio no que diz respeito à estrutura Java (consulte WebView.java e WebViewProvider.java). Não costumava ser, então talvez seja de onde o documento de segurança é.
|
Eu acho que uma técnica especial pode ser empregada. Por exemplo, a página da web pode chamar um método para desbloquear sua API. O aplicativo de incorporação deve chamar o método evaluateJavascript que será executado no frame principal e passar uma chave de segurança para o mundo JavaScript do frame principal. Todas as chamadas para o método API devem ser solicitadas com esta chave como parâmetro.
|
sua resposta
StackExchange.ifUsing ("editor", function () {
StackExchange.using ("externalEditor", function () {
StackExchange.using ("snippets", function () {
StackExchange.snippets.init ();
});
});
}, "partes de codigo");
StackExchange.ready (function () {
var channelOptions = {
tags: "" .split (""),
id: "1"
};
initTagRenderer ("". split (""), "" .split (""), channelOptions);
StackExchange.using ("externalEditor", function () {
// Tem que disparar o editor após os snippets, se os snippets estiverem habilitados
if (StackExchange.settings.snippets.snippetsEnabled) {
StackExchange.using ("snippets", function () {
createEditor ();
});
}
outro {
createEditor ();
}
});
function createEditor () {
StackExchange.prepareEditor ({
useStacksEditor: false,
heartbeatType: 'answer',
autoActivateHeartbeat: false,
convertImagesToLinks: true,
noModals: true,
showLowRepImageUploadWarning: true,
reputaçãoToPostImages: 10,
bindNavPrevention: true,
postfix: "",
imageUploader: {
brandingHtml: "Powered by \ u003ca href = \" https: //imgur.com/ \ "\ u003e \ u003csvg class = \" svg-icon \ "width = \" 50 \ "height = \" 18 \ "viewBox = + 46,2665 7,94324 47,1084 7.58816C47.4091 7,46349 47,7169 7,36433 48,0099 7.26993C48.9099 6,97997 49,672 6,73443 49,672 5.93063C49.672 5,22043 48,9832 4,61182 48,1414 4.61182C47.4335 4,61182 46,7256 4,91628 46,0943 5.50789C45.7307 4,9328 45,2525 4,66231 44,6595 4.66231C43.6264 4,66231 43,1481 5,28821 43.1481 6.59048V11.9512C43.1481 13.2535 43.6264 13.8962 44.6595 13.8962C45.6924 13.8962 46.1709 13.2535 46.1709 11.9512V9.17788Z \ "/ \ u003e \ u003cpath d = \" M32.492 10.1439219 C32.492.492. 41.5985 12.6954 41.5985 10.1419V6.59049C41.5985 5.28821 41.1394 4.66232 40.1061 4.66232C39.0732 4.66232 38.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0454 11.5204 11.5204 11.5458.5948.5948 5.28821 38.5948 6.59049V9.60062C38.5948 10.8521 38.2696 11.5455 37.0454 11.520 11.520 11.5204 11.520 11.5204 11.5204 11.5458 11.5204 11.5204 11.5204 11.520 c 11.5204 11.520. 521 35.4954 9.60062V6.59049C35.4954 5.28821 35.0173 4.66232 34.0034 4.66232C32.9703 4.66232 32.492 5.28821 32.492 6.59049V10.1419Z \ "/ \ u003e \ u003cpath fill-rule = \" evenodd \ "clip-rule = \" evenodd \ "clip-rule = ” .1369 4.56087 21.0134 6.57349 21.0134 9.27932C21.0134 11.9852 23.003 13,913 25.3754 13.913C26.5612 13,913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.7799 28.772.1 12.8346C 25.3754 13.913C26.5612 13,913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28.1161 12.7799 28.7799 2877121 12.8346C 25.3754 13.913C26.5612 13,913 27.4607 13.4902 28.1109 12.6616C28.1109 12.7229 28,1161 12.7799 287799 2877323 12.8346C 28.1256.1 12.34.273 12.34.273.228.125.303 12.34.273 12.34.273. 15,2321 24,1352 14,9821 23,5661 14.7787C23.176 14,6393 22,8472 14,5218 22,5437 14.5218C21.7977 14,5218 21,2429 15,0123 21,2429 15.6887C21.2429 16,7375 22,9072 17,6335 25,6622 17.6335ZM24.1317 9.27932C24.1317 7,94324 24,9928 7,09766 26,1024 7.09766C 28,0918 7,94324 7,09766 27,2119 28,0918 9.27932C28.0918 10,6321 27,2311 11,5116 26,1024 11.5116C24.9737 11,5116 24,1317 10,6491 24,1317 9.27932Z \ "/ \ u003e \ u003cpath d = \" M16.8045 11.9512C16.8045 17,2637 13,8962 18,2965 13,2535 13,8962 13.8962C19.3298 19,8079 13,2535 19,8079 11,9512V8.12928C19,8079 5,82936 18,4879 4,62866 16,4027 4,62866C15,1594 4,62866 14,279 4,98375 13,3609 5,88013C12,653 5,05154 11,6581 4,62866 10,3573 4,62866C9,34,34,34,3573 4,62866C5.5079C7.58314 4,9328 7.10506 4.66232 6.51203 4.66232C5.47873 4.66232 5.00066 5.28821 5.00066 6.59049V11.9512C5. 7.58817 10.893 8.94108V11.9512C10.893 13.2535 11.37117513.892.17.3513.515.913.5821 5.00066. 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 15.4269 6.91179C16.4088 \ 6.91179 16.80119. = \ `` M3.31675 6.59049C3.31675 5.28821 2.83866.66232 4.79175.125.125.125.125.125.125.125.125.125.125.125. .313354 13,2535 0,791758 13,8962 1,82471 13,8962C2.85798 13,8352 \ u0031675 \ u200b \ u200b3. U003cpath d = “M1.87209 0,400291C0,8436121200291 0 1,1159 0 1,9888761C0 7220 1,1159 = 2,90056 0,400291 1,87Z "# 1BB76E \" / \ u003e \ u003c / svg \ u003e \ u003c / a \ u003e ",
contentPolicyHtml: "Contribuições do usuário licenciadas sob \ u003ca href = \" https: //stackoverflow.com/help/licensing \ "\ u003ecc by-sa \ u003c / a \ u003e \ u003ca href = \" https://stackoverflow.com / legal / content-policy \ "\ u003e (política de conteúdo) \ u003c / a \ u003e",
allowUrls: true
},
onDemand: true,
discardSelector: ".discard-answer"
, imediatamenteShowMarkdownHelp: true, enableTables: true, enableSnippets: true
});
}
});
Obrigado por contribuir com uma resposta para Stack Overflow!
Certifique-se de responder à pergunta. Forneça detalhes e compartilhe sua pesquisa!
Mas evite ...
Pedir ajuda, esclarecimento ou responder a outras respostas.
Fazer declarações com base em opinião; Apoie-os com referências ou experiência pessoal.
Para saber mais, veja nossas dicas sobre como escrever boas respostas.
Rascunho salvo
Rascunho descartado
Cadastre-se ou faça o login
StackExchange.ready (function () {
StackExchange.helpers.onClickDraftSave ('# login-link');
});
Inscreva-se usando o Google
Cadastre-se usando o Facebook
Inscreva-se usando e-mail e senha
Enviar
Postar como convidado
Nome
O email
Obrigatório, mas nunca mostrado
StackExchange.ready (
function () {
StackExchange.openid.initPostLogin ('. New-post-login', 'https% 3a% 2f% 2fstackoverflow.com% 2fquestions% 2f31548182% 2fcan-iframes-inside-my-website-can-access-the-webview-js- objeto-ponte% 23nova-resposta ',' question_page ');
}
);
Postar como convidado
Nome
O email
Obrigatório, mas nunca mostrado
Publique a sua resposta
Descartar
Ao clicar em “Publique sua resposta”, você concorda com nossos termos de serviço, política de privacidade e política de cookies
Não é a resposta que você está procurando? Navegue por outras questões com a tag javascript android iframe webview xss ou faça sua própria pergunta.