Android Webview Java和Javascript安全交互
最近要對一個網頁的源代碼進行檢測,Android Webview中沒有直接獲取網頁源代碼的接口,傳統的addJavascriptInterface方法存在安全隱患,所以研究了一下Java和Javascript的安全交互。
Android Webview漏洞
Android Webview有兩個非常知名的漏洞:
- 最近爆出來的UXSS漏洞,可以越過同源策略,獲得任意網頁的Cookie等信息,Android 4.4以下都有此問題,基本無解,只能重新編譯瀏覽器內核解決,詳情可以參考最近移動安全三兩事,感興趣的可以去看一下@RAyH4c劫持微博、QQ空間的視頻。
- 成名已久的任意命令執行漏洞,通過
addJavascriptInterface方法,Js可以調用Java對象方法,通過反射機制,Js可以直接獲取Runtime,從而執行任意命令。Android 4.2以上,可以通過聲明@JavascriptInterface保證安全性,4.2以下不能再調用addJavascriptInterface,需要另謀他法。
</ul>
Java和Javascript安全交互
首先要說明幾點:
1.Android Webview中Java調用Js方法很容易,loadUrl("javascript:isOk()")就可以調用isOk這個Js方法,但不能直接獲取Js方法的返回結果。
2.傳統的方法中,Js獲取Java信息可以采用如下方式:
class JsObject {
@JavascriptInterface
public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");Java獲取Js信息(如通過Js獲取網頁源代碼)可以這樣:
import android.app.Activity; import android.graphics.Bitmap; import android.os.Bundle; import android.util.Log; import android.webkit.WebView; import android.webkit.WebViewClient;public class HtmlSource extends Activity { private WebView webView;
@Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); webView = (WebView)findViewById(R.id.webview); webView.getSettings().setJavaScriptEnabled(true); webView.addJavascriptInterface(new InJavaScriptLocalObj(), "local_obj"); webView.setWebViewClient(new MyWebViewClient()); webView.loadUrl("http://www.cnblogs.com/hibraincol/"); }final class MyWebViewClient extends WebViewClient{
public boolean shouldOverrideUrlLoading(WebView view, String url) {
view.loadUrl(url);
return true;
}
public void onPageStarted(WebView view, String url, Bitmap favicon) { Log.d("WebView","onPageStarted"); super.onPageStarted(view, url, favicon); }
public void onPageFinished(WebView view, String url) { Log.d("WebView","onPageFinished "); view.loadUrl("javascript:window.local_obj.showSource('<head>'+" + "document.getElementsByTagName('html')[0].innerHTML+'</head>');"); super.onPageFinished(view, url); } }final class InJavaScriptLocalObj { public void showSource(String html) { Log.d("HTML", html); } }}</pre>
3.當網頁中有超鏈接跳轉時,將會調用WebClient的
shouldOverrideUrlLoading方法,若設置 WebViewClient 且該方法返回 true,則說明由應用的代碼處理該 url,WebView 不處理,就可以達到攔截跳轉的效果。明白了上面幾點,我們可以總結出一個比較安全的Java和Js交互方式:
可以借鑒Android Intent的思路,Java和Js定義一個url格式如
</blockquote> 來自:http://jiajixin.cn/2014/09/16/webview-js-safety/js://_,Java調用Js方法,在Js方法中通過window.location.href='js://_?key=value#key1=value1'模擬跳轉,被Java的shouldOverrideUrlLoading捕獲,函數的返回值可以放在url的參數中。(Js調用Java方法原理相同)
這樣的交互方式是異步的,如果你想知道調用一個Js方法是否返回了值怎么辦?一般Java調用Js方法是在onPageFinished方法中,獲得Js返回值是在shouldOverrideUrlLoading方法中,兩個方法有個共同的參數webview,所以可以首先webview.setTag(false),如果捕獲到返回結果,則webview.setTag(true),postDelayed在很短時間比如300毫秒后,webview.getTag()檢查是否有變化即可。