使用WebView的安全风险(IOS、Android)

Question

我是移动编程的初学者，想知道web视图是否不好？我从我们公司的应用程序团队那里听说，启用web视图本身就是一个安全风险(我们处理财务数据:)。

我本打算用它做一个简单的验证码，但我的问题更像是

从安全的角度来看，Webview是一个严格的禁区吗？

请让我知道。

任何帮助都是非常感谢的。

Answer 1

这取决于你如何在你的应用中使用WebView。例如，GMail应用程序使用WebView以非常安全的方式查看电子邮件。如果你将任意的第三方内容加载到你的WebView中，那么主要的风险就来了。浏览器通过将网页放入单独的进程中来处理此问题，因此，即使页面代码利用呈现引擎的某些安全漏洞并获得对其的控制，它仍然不能代表浏览器执行操作。WebView是单进程的，因此渲染器引擎中的任何安全漏洞实际上都会授予恶意代码与您的应用程序相同的权限。

所以基本上，安全使用WebView的第一条规则是只在其中加载受信任的内容。如果需要显示用户提供的内容，请仅接受纯文本并对其进行清理。如果可能，请避免启用JavaScript。针对你的应用程序允许的最新应用程序接口级别--否则WebView可能会启用不安全的功能，以便与旧的应用程序兼容，而旧的应用程序在没有它们的情况下无法工作。