V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
valley
V2EX  ›  Android

求解 webview 的一个安全问题,

  •  
  •   valley · 2017-09-28 11:56:39 +08:00 · 9613 次点击
    这是一个创建于 2621 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我将程序中的值通过调用 h5 的 js 方法传给网页,这里面有没有可能被人拦截,然后获取这个值
    11 条回复    2017-09-30 23:00:19 +08:00
    KNOX
        1
    KNOX  
       2017-09-28 12:00:19 +08:00 via Android
    lwbjing
        2
    lwbjing  
       2017-09-28 12:00:24 +08:00
    不管你是 h 几,js 经手了,就可以拦截到的。。
    valley
        3
    valley  
    OP
       2017-09-28 12:03:24 +08:00
    @lwbjing 具体能提醒下关键字么,我去搜一下,因为我目前有个项目要我把密码通过 js 传给 webview,我感觉不妥。
    chenyu8674
        4
    chenyu8674  
       2017-09-28 13:14:22 +08:00
    js 内进行加密后再传,解密验证交给 Server
    JarvisTang
        5
    JarvisTang  
       2017-09-28 13:22:11 +08:00
    干嘛传密码?直接传一个 Token 啊

    微信公众号的文章就是网页,只传了登录状态。
    vjnjc
        6
    vjnjc  
       2017-09-28 13:57:40 +08:00
    native 程序传给 webview 过程是没法拦截的,之后就和 web 一样,改上 https 就上 https
    kuro1
        7
    kuro1  
       2017-09-28 14:00:58 +08:00
    密码 明文 不可取
    debuggerx
        8
    debuggerx  
       2017-09-28 15:03:23 +08:00
    lz 怕是不知道 chrome 自带的 webview 远程调试工具……
    henices
        9
    henices  
       2017-09-28 15:10:37 +08:00
    android 机器 root 了话, 基本都能干了。
    xomix
        10
    xomix  
       2017-09-28 15:18:49 +08:00
    不用有没有可能,肯定可以。
    建议传递的是 sso 的 token 之类的登陆令牌,令牌一定时间后失效这样可以很好的控制这种传递。
    fengleidongxi
        11
    fengleidongxi  
       2017-09-30 23:00:19 +08:00
    有可能
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   925 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 20:13 · PVG 04:13 · LAX 12:13 · JFK 15:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.