Changes between Version 3 and Version 4 of question_log201409

Timestamp:

09/28/2014 12:14:51 PM (12 years ago)

Author:

liaojiaohe

Comment:

--

question_log201409

@@ -8 +8 @@
 安全组对聚超值app进行扫描的到的[http://trac.pc.com.cn/gzandroid/attachment/wiki/question_log201409/%E9%87%91%E5%88%9A%E5%AE%89%E5%85%A8%E6%A3%80%E6%B5%8B-%E8%81%9A%E8%B6%85%E5%80%BCapp.htm 结果][[BR]]
 
-需要对 addJavascriptInterface 安全性 进行研究
+需要对 addJavascriptInterface 安全性 进行研究[[BR]]
+http://blog.csdn.net/leehong2005/article/details/11808557 描述[[BR]]
+
+http://security.tencent.com/index.php/opensource/detail/1 解决方法[[BR]]
+1、如果无需与JS交互，请删除对addJavascriptInterface函数的调用；[[BR]]
+
+2、在载入页面时对URL进行白名单判定，只有存在白名单中的域才允许导出或调用相关的Java类或方法；[[BR]]
+
+
+http://drops.wooyun.org/papers/548 攻击过程[[BR]]
+
 
 ----
@@ -14 +24 @@
 开发中发现，在fragment里面的webview 不能输入数字 [[BR]]
 经查询是这样一个[http://www.eoeandroid.com/thread-312932-1-1.html  问题]，可能与低版本的android bug有关，只能绕开这个bug,是用FullScreenActivity打开页面解决 [[BR]]
-
-