解決android4.2以下addJavaScriptInterface不安全問題
阿新 • • 發佈:2019-02-15
問題描述
android js和原生互相呼叫會產生安全問題,WebView addJavaScriptInterface 遠端程式碼執行漏洞
概述
Android 系統通過WebView.addJavascriptInterface 方法註冊可供JavaScript 呼叫的Java 物件,以用於增強JavaScript 的功能。但是系統並沒有對註冊Java 類的方法呼叫的限制。導致攻擊者可以利用反射機制呼叫未註冊的其它任何Java 類,最終導致JavaScript 能力的無限增強。攻擊者利用該漏洞可以根據客戶端能力為所欲為。
修復方法:
android 4.2以上使用@Javascriptinterface註解標記js需要呼叫的原生方法
android 4.2以下建議不要使用
webView.addJavascriptInterface(... , ...)
- 我們專案的修改方式是
js使用如下程式碼:
var loadUrl = function(url) {
var _script= document.createElement("script");
_script.setAttribute("src", url);
_script.setAttribute("style", "display:none;");
_script.setAttribute("height", "0px");
_script.setAttribute ("width", "0px");
_script.setAttribute("frameborder", "0");
document.body.appendChild(_script);
_script.parentNode.removeChild(_script);
_script= null;
};
js程式碼新增script標籤,匯入src,在android原生端我們可以利用
public WebResourceResponse shouldInterceptRequest(WebView view, final String url)
攔截src中載入的內容,src中url的格式為
android://localhost/.../{...}
android是協議名,localhost是主機名,…使用請求action,最後{..}是引數
android端解析程式碼如下:
@Override
public WebResourceResponse shouldInterceptRequest(WebView view, final String url) {
Uri uri = Uri.parse(url);
// 如果 authority = 預先約定協議裡的 localhost,即代表都符合約定的協議
// 所以攔截url,下面JS開始呼叫Android需要的方法
if (uri.getScheme().equals("android")) {
if (uri.getAuthority().equals("localhost")) {
String path = uri.toString();
//解析action
String action = path.substring(..., path.indexOf("/", ...));
//解析params
String params = path.substring(path.lastIndexOf('/') + 1);
try {
...
//執行相關方法
//引數如果有中文需要轉碼
URLDecoder.decode(params, "UTF-8")
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
}
...
return super.shouldInterceptRequest(view, url);
}