WebView的漏洞有多少?

http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89


Android 4.2以下版本开发时WebView不止是调用了addJavascriptInterface才会有风险,只要用了WebView就会有问题,比如默认加入的searchBoxJavaBridge_对象:

http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html

http://wolfeye.baidu.com/blog/android-webview/


accessibility和accessibilityTraversal,如果手机系统版本低于(不含)4.4,而且开启了系统辅助功能中的某一项服务就有可能受到此威胁。

http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/



Android安全开发之WebView中的大坑

http://blog.csdn.net/zhangcanyan/article/details/51930775


安全开发建议

 

1)建议开发者通过以下方式移除该JavaScript接口:

  removeJavascriptInterface("searchBoxJavaBridge_")

  removeJavascriptInterface("accessibility");

  removeJavascriptInterface("accessibilityTraversal")

2)出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解

3)通过WebSettings.setSavePassword(false)关闭密码保存提醒功能

4)通过以下设置,防止越权访问,跨域等安全问题: 

  setAllowFileAccess(false)

  setAllowFileAccessFromFileURLs(false)

  setAllowUniversalAccessFromFileURLs(false)