1
對於我的android應用程序,我使用webview呈現我的網站,並且我創建了一個javscriptinterface對象來與應用程序和網站進行通信。我想讓其他用戶把iframe放到我的網站中,但是我想這些iframe是否可以訪問我的JS接口對象?我的網站內的iframe可以訪問webview-js橋對象嗎?
如果可能的話如何解決這個安全問題?
A
回答
0
是 - WebView中的所有JavaScript都可以訪問相同的JavaScript接口,無論它來自哪個服務器,因爲它在本地執行。
您可以通過在本地網絡上的不同端口上運行兩個Python SimpleHTTPServer實例來測試它們:它們被認爲是不同的主機(例如XMLHttpRequest會導致交叉源請求錯誤),但仍可以調用方法即使你的iframe來自不同的主機,Javascript也是如此。
到目前爲止,我還沒有能夠找到一種方法來規避這種情況。 Android docs建議「只將addJavaScriptInterface()暴露給應用程序APK中包含的JavaScript」,但沒有提及如何實現此目的。由於Java對象被傳遞給Javascript,並且所有的Javascript都是在WebView的上下文中執行的,我猜想這是由WebView/WebViewProvider的Android實現來提供這樣一種方法,但是Marshmallow的就Java框架而言,addJavascriptInterface()是空的(請參閱WebView.java和WebViewProvider.java)。它沒有use to be,所以也許這就是安全文檔的來源。
相關問題
- 1. Facebook可以訪問我的網站嗎?
- 2. 我可以爲我的網站訪問者啓用JavaScript嗎?
- 3. 我可以通過ipv4訪問我的ipv6網站嗎?
- 4. 訪問iframe網站
- 5. 你有訪問iframe加載外部網站的內容嗎?
- 6. 我可以像訪問對象一樣訪問對象的「基礎部分」嗎?
- 7. 我可以限制網站訪問特定的計算機嗎?
- 8. Iframe加載的網站可以訪問參數
- 9. Ajax腳本可以訪問不同網站的網頁嗎?
- 10. 可以從C#訪問Beanshell對象嗎?
- 11. 可以要求網站訪問者粉絲頁面訪問網站上的內容嗎?
- 12. 我可以告訴網站爬蟲訪問某個頁面嗎?
- 13. 我可以訪問HTML 5中的圖像對象嗎?
- 14. 我可以訪問本地作用域的__dict__對象嗎?
- 15. 一般安全:我的數據庫可以通過我的網站訪問嗎?
- 16. NSArray enumerateUsingBlock:我可以訪問塊內其他索引處的對象嗎?
- 17. ISP可以通過HTTPS站點訪問通過iframe查看的站點嗎?
- 18. 我可以從uiwebview中的iframe中訪問本地圖像嗎?
- 19. 我可以訪問網站應用程序類以外的Sintra設置嗎?
- 20. 我可以使用C#中的對象名稱訪問對象屬性嗎?
- 21. 我可以使用facebook憑據讓用戶訪問我的網站嗎?
- 22. Firebug可以運行我的網站嗎?
- 23. 可以訪問其他網站的cookies嗎?
- 24. 我可以使ONLINE內容僅對我,網站管理員可見嗎?
- 25. 我可以在AJAX延遲迴調中訪問Deferred對象嗎?
- 26. 我們可以使用對象訪問靜態方法嗎?
- 27. 我可以使用File對象訪問資源嗎?
- 28. MongoDB聚合(通過MongoEngine/PyMongo):我可以訪問ReferenceField對象嗎?
- 29. 可以從Python對象運行Javascript文件訪問對象嗎?
- 30. 我的網站是可以訪問的ftp://ftp.example.com是否安全?