011.影响WebView安全的相关API

在混合式开发中，程序不仅要考虑性能问题，还要考虑安全问题。众所周知往WebView中注入Java对象，容易引起很大的安全漏洞，虽然后期增加了@JavaScriptInterface这个注解来帮忙修复。但是在JELLY_BEAN_MR1之前的版本可能依然存在这种漏洞

涉事API

WebView.png

同源策略：它的精髓很简单：它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时，它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。
参考链接：

• Js同源策略详解
• JavaScript同源策略

为什么从网络上加载的HTML没法直接显示file://中的内容

同源策略限制JavaScript只能操作同源站点的DOM对象。当JavaScript脚本通过非file url（如http url）加载执行时，file url都被判断为非同源url,这样可以阻止http页面中的JavaScript读取本地文件。当JavaScript通过file url加载执行时，有的浏览器允许JS访问所有的本地文件，有的以目录作为同源性判断条件，有的仅仅允许访问url特指的文件。在file url的JavaScript中访问其它协议的资源，也是不同时期不同的浏览器有不同标准，有的允许在file协议中通过XmlHttpRequest请求http资源，有的则不允许。（换一句话说，当从服务器加载的HTML页面的链接中有file://这样 的链接，那么这条链接就直接被阻止了。如果加载的HTML页面是本地页面，那么这个file://链接有可能被加载）

在开发的过程中，因为sandbox的存在，大部分的应用只访问自己的数据，不关心其它。但是总有那么几款应用或者那么几个API想要跳墙去看看别人的数据。比如IBinder。在WebView中有一下API对应用数据产生安全。

setAllowFileAccess

通过这个API可以设置是否允许WebView使用File协议，默认值是允许，如果不允许使用File协议，则不会存在下述的各种跨源的安全威胁，但同时也限制了WebView的功能，使其不能加载本地的html文件。

setJavaScriptEnabled

通过此API可以设置是否允许WebView使用JavaScript,默认是不允许，但很多应用，包括移动浏览器为了让WebView执行http协议中的JavaScript，都会主动设置允许WebView执行JavaScript，而又不会对不同的协议区别对待，比较安全的实现是如果加载的url是http或https协议，则启用JavaScript,如果是其它危险协议，如是file协议，则禁用JavaScript。禁用file协议的JavaScript可以很大程度上减小跨源漏洞对WebView的威胁。

setAllowFileAccessFromFileURLs

通过此API可以设置是否允许本地html中的JavaScript读取其它的本地文件。JELLY_BEAN以前的版本默认允许，之后的版本默认禁止

setAllowUniversalAccessFromFileURLs

通过此API可以设置是否允许本地html中的JavaScript是否可以读取本地或者网络上的资源。这个设置在JELLY_BEAN以前的版本默认是允许，在JELLY_BEAN及以后的版本中默认是禁止的。如果此设置是允许，则setAllowFileAccessFromFileURLs不起做用

参考链接：
WebView跨源攻击分析