Android Webview Java和Javascript安全交互

移动开发 Android
最近要对一个网页的源代码进行检测,Android Webview中没有直接获取网页源代码的接口,传统的addJavascriptInterface方法存在安全隐患,所以研究了一下Java和Javascript的安全交互。

最近要对一个网页的源代码进行检测,Android Webview中没有直接获取网页源代码的接口,传统的addJavascriptInterface方法存在安全隐患,所以研究了一下Java和Javascript的安全交互。

Android Webview漏洞

Android Webview有两个非常知名的漏洞:

  • 最近爆出来的UXSS漏洞,可以越过同源策略,获得任意网页的Cookie等信息,Android 4.4以下都有此问题,基本无解,只能重新编译浏览器内核解决,详情可以参考最近移动安全三两事,感兴趣的可以去看一下@RAyH4c劫持微博、QQ空间的视频。
  • 成名已久的任意命令执行漏洞,通过addJavascriptInterface方法,Js可以调用Java对象方法,通过反射机制,Js可以直接获取Runtime,从而执行任意命令。Android 4.2以上,可以通过声明@JavascriptInterface保证安全性,4.2以下不能再调用addJavascriptInterface,需要另谋他法。

Java和Javascript安全交互

首先要说明几点:

1.Android Webview中Java调用Js方法很容易,loadUrl("javascript:isOk()")就可以调用isOk这个Js方法,但不能直接获取Js方法的返回结果。

  1. class JsObject { 
  2.        @JavascriptInterface 
  3.        public String toString() { return "injectedObject"; } 
  4.     } 
  5.     webView.addJavascriptInterface(new JsObject(), "injectedObject"); 
  6.     webView.loadData("""text/html"null); 
  7.     webView.loadUrl("javascript:alert(injectedObject.toString())"); 

2.传统的方法中,Js获取Java信息可以采用如下方式:

  1. import android.app.Activity; 
  2. import android.graphics.Bitmap; 
  3. import android.os.Bundle; 
  4. import android.util.Log; 
  5. import android.webkit.WebView; 
  6. import android.webkit.WebViewClient; 
  7.  
  8. public class HtmlSource extends Activity { 
  9.     private WebView webView; 
  10.  
  11.     @Override 
  12.     public void onCreate(Bundle savedInstanceState) { 
  13.         super.onCreate(savedInstanceState); 
  14.         setContentView(R.layout.main); 
  15.         webView = (WebView)findViewById(R.id.webview); 
  16.         webView.getSettings().setJavaScriptEnabled(true); 
  17.         webView.addJavascriptInterface(new InJavaScriptLocalObj(), "local_obj"); 
  18.         webView.setWebViewClient(new MyWebViewClient()); 
  19.         webView.loadUrl("http://www.cnblogs.com/hibraincol/"); 
  20.     } 
  21.  
  22.  
  23.    final class MyWebViewClient extends WebViewClient{   
  24.         public boolean shouldOverrideUrlLoading(WebView view, String url) {    
  25.             view.loadUrl(url);    
  26.             return true;    
  27.         }   
  28.         public void onPageStarted(WebView view, String url, Bitmap favicon) { 
  29.             Log.d("WebView","onPageStarted"); 
  30.             super.onPageStarted(view, url, favicon); 
  31.         }     
  32.         public void onPageFinished(WebView view, String url) { 
  33.             Log.d("WebView","onPageFinished "); 
  34.             view.loadUrl("javascript:window.local_obj.showSource('<head>'+" + 
  35.                 "document.getElementsByTagName('html')[0].innerHTML+'</head>');"); 
  36.             super.onPageFinished(view, url); 
  37.         } 
  38.     } 
  39.  
  40.     final class InJavaScriptLocalObj { 
  41.  
  42.         public void showSource(String html) { 
  43.             Log.d("HTML", html); 
  44.         } 
  45.     } 

3.当网页中有超链接跳转时,将会调用WebClient的shouldOverrideUrlLoading方法,若设置 WebViewClient 且该方法返回 true,则说明由应用的代码处理该 url,WebView 不处理,就可以达到拦截跳转的效果。

明白了上面几点,我们可以总结出一个比较安全的Java和Js交互方式

可以借鉴Android Intent的思路,Java和Js定义一个url格式如js://_,Java调用Js方法,在Js方法中通过window.location.href='js://_?key=value#key1=value1'模拟跳转,被Java的shouldOverrideUrlLoading捕获,函数的返回值可以放在url的参数中。(Js调用Java方法原理相同)

这样的交互方式是异步的,如果你想知道调用一个Js方法是否返回了值怎么办?一般Java调用Js方法是在onPageFinished方法中,获得Js返回值是在shouldOverrideUrlLoading方法中,两个方法有个共同的参数webview,所以可以首先webview.setTag(false),如果捕获到返回结果,则webview.setTag(true),postDelayed在很短时间比如300毫秒后,webview.getTag()检查是否有变化即可。

责任编辑:闫佳明 来源: jiajixin
相关推荐

2014-07-29 11:16:07

2013-07-03 16:49:17

AndroidWebView

2013-09-13 13:15:28

AndroidWebViewJavaScript

2009-06-30 15:05:52

JSP数据JavaScript数

2016-10-24 14:04:24

2017-04-25 12:07:51

AndroidWebViewjs

2014-07-30 14:22:41

AndroidWebView内存泄漏

2017-10-18 12:22:43

NativeHybirdJavaScript

2010-08-10 17:01:48

FlexJavaScript

2015-03-03 15:53:31

Android控件

2022-07-18 08:48:06

HtmxHTML

2017-07-14 09:29:45

AndroidWebview

2013-09-09 17:53:03

2014-04-03 10:16:44

JavaScriptCSS

2010-07-30 12:56:02

Flex调用JavaS

2020-12-18 09:40:30

应用程序安全代码

2019-05-14 11:21:07

FlutterAndroidWebView

2012-05-11 10:43:24

交互设计控件

2017-05-17 08:51:39

WebView分析应用

2009-11-23 12:43:32

SOA安全设备交互面向服务架构
点赞
收藏

51CTO技术栈公众号