请选择 进入手机版 | 继续访问电脑版
帖子
帖子
用户
博客
课程
12下一页
返回列表 发新帖
显示全部楼层
20
帖子
0
勋章
121
Y币

[其他] 应用被检测说 该应用存在WebView跨域访问漏洞

[复制链接]
发表于 2021-7-12 16:39:04
应用被检测说 该应用存在WebView跨域访问漏洞 怎么解决
380
帖子
4
勋章
6
Y币
模块都用最新的
20
帖子
0
勋章
121
Y币
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。
第1处:
文件:
com.uzmap.pkg.a.k.e.java
代码:
.method public static a(Landroid/webkit/WebView;Z)V invoke-virtual {v1, v4}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFil
反馈的是这个,请问这个是哪个模块导致的?
380
帖子
4
勋章
6
Y币
已添加模块那里添加的模块截图看看
20
帖子
0
勋章
121
Y币
技术支持-F 发表于 2021-7-12 18:07
已添加模块那里添加的模块截图看看

这是所有的模块
微信图片_20210712181826.png
380
帖子
4
勋章
6
Y币
犇犇2 发表于 2021-7-12 18:19
这是所有的模块

点开版本号,看看是不是最高版本,都选到最高版本
20
帖子
0
勋章
121
Y币
技术支持-F 发表于 2021-7-12 18:26
点开版本号,看看是不是最高版本,都选到最高版本

更新最新版本的模块后还是这样,解决方案说是:
1. 若file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
1) 固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问。
2) 可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改。
3) 对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
请问这个怎么弄呢
380
帖子
4
勋章
6
Y币
犇犇2 发表于 2021-7-14 11:47
更新最新版本的模块后还是这样,解决方案说是:
1. 若file域访问为非功能需求时,手动配置setAllowFileAc ...

加固后再检测
20
帖子
0
勋章
121
Y币

之前提交的就是加固后的
20
帖子
0
勋章
121
Y币
犇犇2 发表于 2021-7-14 14:13
之前提交的就是加固后的

dcloud也有这种情况,后来他们解决了
12下一页
您需要登录后才可以回帖 登录

本版积分规则