Android WebView 设置允许访问内容链接¶
ID: java/android/websettings-allow-content-access
Kind: problem
Security severity: 6.5
Severity: warning
Precision: medium
Tags:
- security
- external/cwe/cwe-200
Query suites:
- java-security-extended.qls
- java-security-and-quality.qls
Android 可以使用 setAllowContentAccess 设置提供对 WebView 中内容提供程序的访问。
允许通过 content:// URL 访问内容提供程序可能会导致 JavaScript 访问受保护的内容。
建议¶
如果您的应用不需要访问 content:// URL 功能,您应该通过在 WebView 的设置上调用 setAllowContentAccess(false) 来明确禁用该设置。
示例¶
在以下(错误)示例中,明确允许访问 content:// URL。
WebSettings settings = webview.getSettings();
settings.setAllowContentAccess(true);
在以下(正确)示例中,明确拒绝访问 content:// URL。
WebSettings settings = webview.getSettings();
settings.setAllowContentAccess(false);
参考¶
Android 文档:setAllowContentAccess。
常见弱点枚举:CWE-200。