0
我在移動編程初學者,想知道如果Web視圖是壞?我從我們公司的應用程序團隊聽說,啓用Web查看本身就是一種安全風險(我們處理財務數據:))。使用的WebView安全風險(IOS,安卓)
我正打算將它用於一個簡單的驗證碼但我的問題是更像
是一個web視圖嚴格的NO NO從安全的角度?
請讓我知道。
任何幫助表示讚賞。
A
回答
1
這取決於你如何在你的應用程序中使用的WebView。例如,GMail應用程序使用WebView以非常安全的方式查看電子郵件。如果您將任意的第三方內容加載到您的WebView中,主要的風險就來了。瀏覽器通過在單獨的進程中對網頁進行沙盒處理來處理此問題,因此即使頁面代碼利用呈現引擎的某個安全漏洞並獲得對其的控制權,它仍然無法代表瀏覽器進行操作。 WebView是單進程的,因此渲染引擎中的任何安全漏洞實際上授予惡意代碼與應用程序相同的權限。
所以基本上,安全的WebView使用規則#1到裏面只有負荷的可信內容。如果您需要顯示用戶提供的內容,請僅接受純文本並對其進行清理。儘可能避免啓用JavaScript。定位您可以爲您的應用程序提供的最新API級別 - 否則,WebView可能會啓用不安全的功能,以便與舊版應用程序兼容,否則將無法使用。
+0
感謝很多的評論。 Web框架是一個單一過程的觀點是一個值得關注的問題。爲什麼我正在評估這個應用程序中顯示驗證碼。 Captcha技術一起使用一個JavaScript來加載webview內的div內的內容。如果我們從webview中的IFrame中加載來自第三方的內容,會不會更好?它不會獲得整個頁面的訪問權限,在這種情況下,交互也是最小的。然而,爲了驗證驗證碼,他們從那裏加載了一堆javascriiptt服務器。 –
+0
@AravindR:如果頁面通過JavaScript利用某些呈現器漏洞,則在iframe中加載將無濟於事。如果你不完全信任你的第三方,你不應該使用他們的任何代碼。從安全角度將他們的代碼加載到WebView中與將他們的Java代碼放入應用程序中甚至沒有看到它們幾乎相同:) –
相關問題
- 1. WordPress - 安全風險?
- 2. 個人使用泡椒安全風險
- 3. 使用xpath有什麼安全風險?
- 4. AHAH是安全風險嗎?
- 5. 安全風險(XSS)的風格屬性
- 6. 啓用MSDTC的安全風險
- 7. WCF自簽證明的安全風險
- 8. 框架登錄中的安全風險
- 9. Apache中auto_prepend_file的安全風險?
- 10. Drupal中$ update_access_free = true的安全風險
- 11. 動態網站的安全風險
- 12. 寫入文件夾和安全風險
- 13. ASP MVC會話安全風險
- 14. 多個提交按鈕安全風險
- 15. Linux內核模塊 - 安全風險?
- 16. PHP過濾器和安全風險
- 17. 表單身份驗證安全風險
- 18. SSL系統屬性 - 安全風險?
- 19. ElementRef安全風險角度2
- 20. 可以image.src是一個安全風險?
- 21. 安全風險披露php文件名
- 22. 有任何安全風險codealike?
- 23. 與iOS推送通知證書綁定的安全風險
- 24. 安卓(ios)到PHP API安全
- 25. webview幫助 - 安卓
- 26. Drupal安裝的公共存儲庫:有哪些安全風險?
- 27. 使用Facebook登錄的任何安全風險
- 28. 使用require.js減輕javascript對象的安全風險
- 29. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 30. INotifyPropertyChanged:使用線程安全分派器實現的風險
Cheeck OUT- https://stackoverflow.com/questions/39735617/best-practice-check-list-to-make-android-webview-secure/44779801#44779801 –