WebView漏洞

WebView的漏洞有多少？

http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89

Android 4.2以下版本開發時WebView不止是呼叫了addJavascriptInterface才會有風險，只要用了WebView就會有問題，比如預設加入的searchBoxJavaBridge_物件：

http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html

http://wolfeye.baidu.com/blog/android-webview/

accessibility和accessibilityTraversal,如果手機系統版本低於（不含）4.4，而且開啟了系統輔助功能中的某一項服務就有可能受到此威脅。

http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/

Android安全開發之WebView中的大坑

http://blog.csdn.net/zhangcanyan/article/details/51930775

安全開發建議

1)建議開發者通過以下方式移除該JavaScript介面：

  removeJavascriptInterface(“searchBoxJavaBridge_”)

  removeJavascriptInterface(“accessibility”)；

  removeJavascriptInterface(“accessibilityTraversal”)

2)出於安全考慮，為了防止Java層的函式被隨便呼叫，Google在4.2版本之後,規定允許被呼叫的函式必須以@JavascriptInterface進行註解

3)通過WebSettings.setSavePassword(false)關閉密碼儲存提醒功能

4)通過以下設定，防止越權訪問，跨域等安全問題： 

  setAllowFileAccess(false)

  setAllowFileAccessFromFileURLs(false)

  setAllowUniversalAccessFromFileURLs(false)