Android Webview Java和Javascript安全互動

最近要對一個網頁的原始碼進行檢測，Android Webview中沒有直接獲取網頁原始碼的介面，傳統的addJavascriptInterface方法存在安全隱患，所以研究了一下Java和Javascript的安全互動。

Android Webview漏洞

Android Webview有兩個非常知名的漏洞:

• 最近爆出來的UXSS漏洞，可以越過同源策略，獲得任意網頁的Cookie等資訊，Android 4.4以下都有此問題，基本無解，只能重新編譯瀏覽器核心解決，詳情可以參考最近移動安全三兩事，感興趣的可以去看一下@RAyH4c劫持微博、QQ空間的視訊。
• 成名已久的任意命令執行漏洞，通過addJavascriptInterface方法，Js可以呼叫Java物件方法，通過反射機制，Js可以直接獲取Runtime，從而執行任意命令。Android 4.2以上，可以通過宣告@JavascriptInterface保證安全性，4.2以下不能再呼叫addJavascriptInterface，需要另謀他法。

Java和Javascript安全互動

首先要說明幾點：

1.Android Webview中Java呼叫Js方法很容易，loadUrl("javascript:isOk()")就可以呼叫isOk這個Js方法，但不能直接獲取Js方法的返回結果。
2.傳統的方法中，Js獲取Java資訊可以採用如下方式：

class JsObject {
@JavascriptInterface
public String toString() { return “injectedObject”; }
}
webView.addJavascriptInterface(new JsObject(), “injectedObject”);
webView.loadData(“”, “text/html”, null);
webView.loadUrl(“javascript:alert(injectedObject.toString())”);

Java獲取Js資訊（如通過Js獲取網頁原始碼）可以這樣：

import android.app.Activity;
import android.graphics.Bitmap;
import android.os.Bundle;
import android.util.Log;
import android.webkit.WebView;
import android.webkit.WebViewClient;

public class HtmlSource extends Activity {
private WebView webView;

@Override
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.main);
webView = (WebView)findViewById(R.id.webview);
webView.getSettings().setJavaScriptEnabled(true);
webView.addJavascriptInterface(new InJavaScriptLocalObj(), “local_obj”);
webView.setWebViewClient(new MyWebViewClient());
webView.loadUrl(“http://www.cnblogs.com/hibraincol/”);
}
final class MyWebViewClient extends WebViewClient{
public boolean shouldOverrideUrlLoading(WebView view, String url) {
view.loadUrl(url);
return true;
}
public void onPageStarted(WebView view, String url, Bitmap favicon) {
Log.d(“WebView”,”onPageStarted”);
super.onPageStarted(view, url, favicon);
}
public void onPageFinished(WebView view, String url) {
Log.d(“WebView”,”onPageFinished “);
view.loadUrl(“javascript:window.local_obj.showSource(‘<head>’+” +
“document.getElementsByTagName(‘html’)[0].innerHTML+’</head>’);”);
super.onPageFinished(view, url);
}
}

final class InJavaScriptLocalObj {

public void showSource(String html) {
Log.d(“HTML”, html);
}
}
}

3.當網頁中有超連結跳轉時，將會呼叫WebClient的shouldOverrideUrlLoading方法，若設定 WebViewClient 且該方法返回 true，則說明由應用的程式碼處理該 url，WebView 不處理，就可以達到攔截跳轉的效果。

明白了上面幾點，我們可以總結出一個比較安全的Java和Js互動方式：

可以借鑑Android Intent的思路，Java和Js定義一個url格式如js://_,Java呼叫Js方法，在Js方法中通過window.location.href='js://_?key=value#key1=value1'模擬跳轉，被Java的shouldOverrideUrlLoading捕獲，函式的返回值可以放在url的引數中。（Js呼叫Java方法原理相同）
這樣的互動方式是非同步的，如果你想知道呼叫一個Js方法是否返回了值怎麼辦？一般Java呼叫Js方法是在onPageFinished方法中，獲得Js返回值是在shouldOverrideUrlLoading方法中，兩個方法有個共同的引數webview,所以可以首先webview.setTag(false)，如果捕獲到返回結果，則webview.setTag(true),postDelayed在很短時間比如300毫秒後，webview.getTag()檢查是否有變化即可。