我是移动编程的初学者,想知道网络视图是不是很糟糕?我从公司的应用团队那里听说,启用Web视图本身就存在安全风险(我们处理财务数据:))。
我计划将它用于简单的Captcha,但我的问题更像是
从安全角度看,Webview是否严格禁止?
请告诉我。
感谢任何帮助。
答案 0 :(得分:2)
这取决于您在应用中如何使用WebView。例如,GMail应用程序使用WebView以非常安全的方式查看电子邮件。如果您将任意第三方内容加载到WebView中,则会出现主要风险。浏览器通过在单独的进程内沙盒化网页来处理这个问题,因此即使页面代码利用了渲染引擎的某些安全漏洞并获得对它的控制,它仍然无法代表浏览器行动。 WebView是单进程的,因此渲染器引擎中的任何安全漏洞实际上都会授予恶意代码与应用程序相同的权限。
基本上,安全WebView使用的规则#1只是加载其中的可信内容。如果需要显示用户提供的内容,请仅接受纯文本并对其进行清理。尽可能避免启用JavaScript。定位您可以为您的应用程序允许的最新API级别 - 否则WebView可能会启用不安全的功能,以便与没有它们时无法使用的旧应用程序兼容。