在互联网上,有几篇关于使用Android / iOS WebView的XSS漏洞的文章。我了解XSS的主要概念;在常规网站上,可以通过例如将某人重定向到其中包含可操纵查询字符串的URL来实现。
但是,有人将如何对WebView发起XSS攻击。我自己想到一个例子:
该应用程序利用了Deeplink / Universal链接。借助此通用链接,应用程序将打开,并且意图将加载请求的页面。
当用户然后单击诸如https://example.com/openpage/bar?query=<script>alert('XSS');</script>之类的通用链接并且开发人员确实很懒惰时,这可能会导致XSS。但这很容易解决。因此,不必太担心。
您能想到其他利用XSS的方法吗?因为如果我提到的是唯一一个,我认为对WebView进行XSS攻击的风险很小。
编辑:当然,有可能发生存储XSS攻击。