在IM中经常有嵌套网页的功能,主流都是用 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题。本文将介绍 Android WebView的使用漏洞 及其修复方式。
1. 类型
WebView中,主要漏洞有三类:
2. 具体分析
2.1 密码明文存储漏洞
2.1.1 问题分析
WebView默认开启密码保存功能 :
mWebView.setSavePassword(true)`
开启后,在用户输入密码时,会弹出提示框:询问用户是否保存密码;
如果选择”是”,密码会被明文保到 /data/data/com.package.name/databases/webview.db 中,这样就有被盗取密码的危险
2.1.2 解决方案
关闭密码保存提醒
WebSettings.setSavePassword(false)
版权声明:部分文章、图片等内容为用户发布或互联网整理而来,仅供学习参考。如有侵犯您的版权,请联系我们,将立刻删除。
