在 WebView 中启用 JS
Posted
技术标签:
【中文标题】在 WebView 中启用 JS【英文标题】:JS Enabled in A WebView 【发布时间】:2021-10-23 00:26:22 【问题描述】:我正在测试本机移动应用程序,扫描仪指出以下问题:
说明: 移动应用程序已在 WebView 中启用 javascript。默认情况下,WebView 中禁用 JavaScript。 如果启用它会带来各种与 JS 相关的安全问题,例如跨站点脚本 (xss) 攻击。
解决方案: 在 WebView 中禁用 Javascript。
解决方案是否适用?如果是,如何解决,如果不是应该怎么办?
扫描仪在以下位置显示问题的代码行的图像:
【问题讨论】:
【参考方案1】:解决方案是否适用?如果是,如何解决,如果不是应该怎么办?
视情况而定。在某些情况下,webview 出于某种原因需要启用 JS。所以这可能是故意的。 但是,如果攻击者能够以某种方式控制该 webview,例如能够定义 webview 的 URL,则它可能会被滥用。在这种情况下,除了在 webview 上禁用 JS 之外,您还需要设置更多限制。
【讨论】:
以上是关于在 WebView 中启用 JS的主要内容,如果未能解决你的问题,请参考以下文章
android webview增强版,对原生webview的一些解决方案