最近要對(duì)一個(gè)網(wǎng)頁(yè)的源代碼進(jìn)行檢測(cè)，Android Webview中沒(méi)有直接獲取網(wǎng)頁(yè)源代碼的接口，傳統(tǒng)的addJavascriptInterface方法存在安全隱患，所以研究了一下Java和Javascript的安全交互。

Android Webview漏洞

Android Webview有兩個(gè)非常知名的漏洞:

• 最近爆出來(lái)的UXSS漏洞，可以越過(guò)同源策略，獲得任意網(wǎng)頁(yè)的Cookie等信息，Android 4.4以下都有此問(wèn)題，基本無(wú)解，只能重新編譯瀏覽器內(nèi)核解決，詳情可以參考最近移動(dòng)安全三兩事，感興趣的可以去看一下@RAyH4c劫持微博、QQ空間的視頻。
• 成名已久的任意命令執(zhí)行漏洞，通過(guò)addJavascriptInterface方法，Js可以調(diào)用Java對(duì)象方法，通過(guò)反射機(jī)制，Js可以直接獲取Runtime，從而執(zhí)行任意命令。Android 4.2以上，可以通過(guò)聲明@JavascriptInterface保證安全性，4.2以下不能再調(diào)用addJavascriptInterface，需要另謀他法。

Java和Javascript安全交互

首先要說(shuō)明幾點(diǎn)：

1.Android Webview中Java調(diào)用Js方法很容易，loadUrl("javascript:isOk()")就可以調(diào)用isOk這個(gè)Js方法，但不能直接獲取Js方法的返回結(jié)果。

class JsObject { 
       @JavascriptInterface 
       public String toString() { return "injectedObject"; } 
    } 
    webView.addJavascriptInterface(new JsObject(), "injectedObject"); 
    webView.loadData("", "text/html", null); 
    webView.loadUrl("javascript:alert(injectedObject.toString())"); 

2.傳統(tǒng)的方法中，Js獲取Java信息可以采用如下方式：

import android.app.Activity; 
import android.graphics.Bitmap; 
import android.os.Bundle; 
import android.util.Log; 
import android.webkit.WebView; 
import android.webkit.WebViewClient; 
 
public class HtmlSource extends Activity { 
    private WebView webView; 
 
    @Override 
    public void onCreate(Bundle savedInstanceState) { 
        super.onCreate(savedInstanceState); 
        setContentView(R.layout.main); 
        webView = (WebView)findViewById(R.id.webview); 
        webView.getSettings().setJavaScriptEnabled(true); 
        webView.addJavascriptInterface(new InJavaScriptLocalObj(), "local_obj"); 
        webView.setWebViewClient(new MyWebViewClient()); 
        webView.loadUrl("http://www.cnblogs.com/hibraincol/"); 
    } 
 
 
   final class MyWebViewClient extends WebViewClient{   
        public boolean shouldOverrideUrlLoading(WebView view, String url) {    
            view.loadUrl(url);    
            return true;    
        }   
        public void onPageStarted(WebView view, String url, Bitmap favicon) { 
            Log.d("WebView","onPageStarted"); 
            super.onPageStarted(view, url, favicon); 
        }     
        public void onPageFinished(WebView view, String url) { 
            Log.d("WebView","onPageFinished "); 
            view.loadUrl("javascript:window.local_obj.showSource('<head>'+" + 
                "document.getElementsByTagName('html')[0].innerHTML+'</head>');"); 
            super.onPageFinished(view, url); 
        } 
    } 
 
    final class InJavaScriptLocalObj { 
 
        public void showSource(String html) { 
            Log.d("HTML", html); 
        } 
    } 
} 

3.當(dāng)網(wǎng)頁(yè)中有超鏈接跳轉(zhuǎn)時(shí)，將會(huì)調(diào)用WebClient的shouldOverrideUrlLoading方法，若設(shè)置 WebViewClient 且該方法返回 true，則說(shuō)明由應(yīng)用的代碼處理該 url，WebView 不處理，就可以達(dá)到攔截跳轉(zhuǎn)的效果。

明白了上面幾點(diǎn)，我們可以總結(jié)出一個(gè)比較安全的Java和Js交互方式：

可以借鑒Android Intent的思路，Java和Js定義一個(gè)url格式如js://_,Java調(diào)用Js方法，在Js方法中通過(guò)window.location.href='js://_?key=value#key1=value1'模擬跳轉(zhuǎn)，被Java的shouldOverrideUrlLoading捕獲，函數(shù)的返回值可以放在url的參數(shù)中。（Js調(diào)用Java方法原理相同）

這樣的交互方式是異步的，如果你想知道調(diào)用一個(gè)Js方法是否返回了值怎么辦？一般Java調(diào)用Js方法是在onPageFinished方法中，獲得Js返回值是在shouldOverrideUrlLoading方法中，兩個(gè)方法有個(gè)共同的參數(shù)webview,所以可以首先webview.setTag(false)，如果捕獲到返回結(jié)果，則webview.setTag(true),postDelayed在很短時(shí)間比如300毫秒后，webview.getTag()檢查是否有變化即可。