正如https://support.google.com/faqs/answer/9084685所提到的,“启用 JavaScript 并加载从不受信任的 Intent 读取的数据的 WebView 可能会被恶意应用程序欺骗,使其在不安全的上下文中执行 JavaScript 代码。”
这是否意味着 setJavaScriptEnabled(false) 可以修复跨应用脚本漏洞问题?
问问题
68 次
2 回答
0
禁用 javascript 并不能解决问题。例如,如果你插入 html 会发生什么?可能会破坏您的应用或网站。
最好的办法是验证所有数据是否为恶意数据,除非经过验证...
我真的不是移动开发人员,但我相信您可以添加一些方法来验证您处理的来源... Javascript Web 令牌是处理此类身份验证的一种方法。也许有更多android开发经验的人可以纠正我?
于 2021-08-24T06:52:30.133 回答
0
好吧,当您完全禁用脚本(js)时,交叉脚本将不起作用...查看链接下选项 2 中的点:所有都与 JS 相关,并以某种方式限制了它的使用。当您完全禁用 JS 时,没有什么可以限制的 - 脚本不起作用(也是恶意的)
请注意,有很多方法可以破坏您的应用程序,WebView可能有两倍...
于 2021-08-24T07:02:03.257 回答