PLAY CONSOLE WEB VIEW 跨应用脚本漏洞

Posted

技术标签:

【中文标题】PLAY CONSOLE WEB VIEW 跨应用脚本漏洞【英文标题】:PLAY CONSOLE WEB VIEW Cross App Scripting Vulnerability 【发布时间】:2021-12-17 00:13:33 【问题描述】:

我的网络视图应用程序正在苦苦挣扎,谷歌播放团队说我的应用程序容易受到跨应用程序脚本的攻击。我已尝试启用安全浏览(将其设置为 YES),但仍然出现来自 google 的警告。

Google 建议将 setjavascriptEnabled 设置为 false,但这对我来说不是一个有效的选项,因为我在我的 webview 应用上使用了 javascript。

有人解决这些问题吗?

【问题讨论】:

【参考方案1】:

选项 1:

确保不导出受影响的活动 查找任何具有受影响 WebView 的活动。如果这些活动不需要从其他应用程序中获取意图,您可以在清单中为活动设置android:exported=false。这可确保恶意应用无法向这些活动中的任何 WebView 发送有害输入。

选项 2:

在导出的活动中保护 WebViews

如果您想将受影响的 WebView 设置为导出的 Activity,那么我们建议您进行以下更改:

    保护调用评估 JavaScript 和 loadUrl 防止不安全的文件加载

更多详情请至Google Help: Fixing a cross-app scripting vulnerability

【讨论】:

以上是关于PLAY CONSOLE WEB VIEW 跨应用脚本漏洞的主要内容,如果未能解决你的问题,请参考以下文章

如何在 Google Play Developer Console 中取消发布应用

Google Play Developer Console - 如何在其他国家/地区提供应用程序?

Google Play Console:“活跃用户”的含义

在Google Play Console中混淆“上传失败”消息

Google Play Console App Rejection APK 需要有效的隐私政策和重要的披露

Google Play Console 新增获客分析功能,帮您深入洞察用户行为