最佳实践检查清单,使Android WebView安全

时间:2016-09-27 23:00:53

标签: android webview xss android-security

我正在开发一个主要用Native编写并支持Ice Cream Sandwich的应用程序。但是,我需要添加一些WebView。关于WebView安全性的讨论很多,当我使用setJavaScriptEnabled(true)时,它会给我一个警告:"使用setJavaScriptEnabled可以将XSS漏洞引入到您的应用程序中,仔细查看。"

只是想要非常小心地使用WebView和setJavaScriptEnable(true)。我关注了Android WebView Security Tipssuggestions。但是没有最佳实践检查清单。

到目前为止我做了什么:

  1. 仅将可信内容加载到WebView。来自本地html或来自我们的后端。
  2. 通过实施

    拦截来自WebView的所有请求
    webView.setWebViewClient(new WebViewClient() {
        @Override
        public boolean shouldOverrideUrlLoading(WebView view, String url) {
            // magic
            return true;
        }
    });
    
  3. 确保所有后端请求都使用https,并且仅发送到我们的后端。
  4. 检测SSL警告。
  5. 校验和检查本地html / JavaScript文件。
  6. 缩小JavaScript文件
  7. Update Security Provider to Protect Against SSL Exploits
  8. 还有其他一些不专门用于WebView的保护措施,例如加密消息和监狱破损检查等。

    还有什么我想念的吗?我的应用程序有多安全?

    由于

1 个答案:

答案 0 :(得分:5)

根据doc

  

要为应用中的所有WebView启用安全浏览,请添加   清单标签:

<manifest>
     <meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
                android:value="true" />
      . . .
     <application> . . . </application> </manifest> 
     

因为WebView是作为单独的APK分发的,所以安全浏览   WebView现在可用于运行Android 5.0及更高版本的设备。   只需在清单中添加一行,即可更新您的应用和   立即提高大多数用户的安全性。