主要包括两类:适配、安全
适配
1、在Android4.4以下,系统Webview底层实现是采用WebKit内核,而在Android4.4及以上采用了chromium内核,不用系统版本使用WebKit或chromium内核的版本也不一致。常见的问题:html渲染效果不一致、js与android交互方式不一致、部分功能和api的使用也不同
html渲染效果不一致:不同内核,h5标签和css展示效果不一致
部分功能和api的使用也不同:
1、在Android5.0以上默认是不能http和https混合访问:
配置混合模式,WebSettings.MIXED_CONTENT_ALWAYS_ALLOW
在onReceivedSslError中拦截sslerror错误,接受ssl证书(handler.proceed();)
2、android5.0及 以下js无法监听回删事件
需要手动发送回删事件,创建BaseInputConnection对象,判断是回删事件调用con.sendKeyEvent(event);
方案:
使用第三方浏览器内核,目前主要有ChromeView、Crosswalk、TbsX5(腾讯浏览服务),ChromeView基本没维护,Crosswalk体积比较大(会增加10多M),TbsX5提供两种集成方案:1、共享微信手Q空间的x5内核,独立下载x5内核
安全
1、劫持,android客户端访问外部地址,经常会遇到运营商的劫持(嵌入额外的广告或是跳转到其他页面),主要有两类:http劫持和DNS劫持
http劫持:主要是返回的html内容被添加了额外的广告代码,通过改为https,进行数据加密,可以解决
DNS劫持:这个更变态,直接重定向到他们的广告页面
方案:由域名访问改为ip访问
1、利用第三方提供的httpNDS服务,该服务的作用是将客户端发起请求的域名解析成ip返回给客户端,客户端拿返回的ip重新发起请求。这种方式绕过了local DNS 服务可以有效避免被劫持。
2、自己替换,例如利用Okhttp提供的dns接口,重载 Dns的lookup 方法,根据host 返回 InetAddress。
2、各种安全漏洞
包括任意代码执行漏洞、跨域、密码明文保存等
1、任意代码执行漏洞,addJavascriptInterface接口会引起远程代码执行漏洞。可以利用反射机制,执行任意java对象方法。
2、密码明文存储,WebView默认开启密码保存功能mWebView.setSavePassword(true),如果该功能未关闭,在用户输入密码时,会弹出提示框,询问用户是否保存密码,如果选择"是",密码会被明文保到/data/data/com.package.name/databases/webview.db
3、WebView域控制不严格漏洞,Android中默认mWebView.setAllowFileAccess(true),在File域下,能够执行任意的JavaScript代码,在JELLY_BEAN以前的版本默认是setAllowFileAccessFromFileURLs(true),允许通过file域url中的Javascript读取其他本地文件,在JELLY_BEAN以前的版本默认是setAllowUniversalAccessFromFileURLs(true),允许通过file域url中的Javascript访问其他的源,包括其他的本地文件和http,https源的数据。
4、Android 2.3 webkit或者浏览器APP自建内核中会存在此类跨域漏洞。在处理转跳时存在漏洞,导致允许从http域跨向file域,实现跨域漏洞。
方案:
1、建议开发者通过以下方式移除该JavaScript接口:
removeJavascriptInterface("searchBoxJavaBridge_")
removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal")
2、添加@JavascriptInterface,level 17 后,只有显示添加@JavascriptInterface的方法才能被JavaScript调用,这样反射就失去作用了。level17之前的,通过拦截prompt()或是使用shouldOverrideUrlLoading拦截特定协议,进行漏洞修复(todo)。
3、通过WebSettings.setSavePassword(false)关闭密码保存提醒功能
4、通过以下设置,防止越权访问,跨域等安全问题:
setAllowFileAccess(false)
setAllowFileAccessFromFileURLs(false)
setAllowUniversalAccessFromFileURLs(false)
参考文章
