WebView的漏洞有多少?
http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89
Android 4.2以下版本开发时WebView不止是调用了addJavascriptInterface才会有风险,只要用了WebView就会有问题,比如默认加入的searchBoxJavaBridge_对象:
http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html
http://wolfeye.baidu.com/blog/android-webview/
accessibility和accessibilityTraversal,如果手机系统版本低于(不含)4.4,而且开启了系统辅助功能中的某一项服务就有可能受到此威胁。
http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/
Android安全开发之WebView中的大坑
http://blog.csdn.net/zhangcanyan/article/details/51930775
安全开发建议
1)建议开发者通过以下方式移除该JavaScript接口:
removeJavascriptInterface("searchBoxJavaBridge_")
removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal")
2)出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解
3)通过WebSettings.setSavePassword(false)关闭密码保存提醒功能
4)通过以下设置,防止越权访问,跨域等安全问题:
setAllowFileAccess(false)
setAllowFileAccessFromFileURLs(false)
setAllowUniversalAccessFromFileURLs(false)
