android WebView 的新增安全功能

处理外部不受的信任内容通常是应用最重要的功能之一。新闻应用会显示热门新闻报道,购物应用会显示减价促销的商品。这通常伴随着风险,因为处理不受信任的内容(例如通过向您传输恶意内容)是攻击者入侵应用的主要手段之一。
许多应用都使用 WebView 来处理不受信任的内容,多年来,我们对 Android 进行了许多改进,保护它和您的应用免受侵害。借助 Android Lollipop,我们开始以独立 APK 的形式提供 WebView,每隔六周在 Play 商店中更新一次,从而能够快速进行重要修复。我们在最新版的 WebView 中增加了多项重要的安全升级。

在 Android O 中隔离渲染器进程

从 Android O 开始,WebView 将采用独立于托管应用之外的进程来运行渲染器,充分利用 Android 为其他应用进程提供的隔离空间。

与 Chrome 类似,WebView 目前也提供两级隔离:

  1. 渲染引擎被分解为独立进程。这不仅能够在渲染器进程中避免托管应用出现错误或崩溃,还能使恶意网站更难利用渲染器攻击托管应用。
  2. 为进一步防御攻击,渲染器进程将在隔离的进程沙盒中运行,从而将其限制为只能获取有限资源。例如,渲染引擎不能自行向磁盘写入数据,或者与网络进行通信。

    此外,它还采用与 Android 版 Chrome 相同的 seccomp 过滤器(关于 seccomp 的博文即将发布)。seccomp 过滤器不仅能够减少渲染器进程可访问的系统调用数量,还能限制系统调用允许的参数。

集成安全浏览

最新版 WebView 集成了 Google 安全浏览保护机制,能够探测并提醒用户注意可能存在危险的网站。正确配置后,WebView 将对照安全浏览的恶意软件和钓鱼网站数据库检查网址,在用户访问危险的网站之前发出警告。Chrome 每月会向用户显示这项有用信息 2.5 亿次,现在,Android 版 WebView 也将开始显示这项信息。

启用安全浏览

要在应用中为所有 WebView 启用安全浏览,请加入清单标记:

<manifest>
     <meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
                android:value="true" />
      . . .
     <application> . . . </application>
</manifest>

由于 WebView 是以独立 APK 的形式分发的,现在,运行 Android 5.0 及以上版本的设备已可获取 WebView 安全浏览。只需在您的清单中加入一行代码,便可立即更新应用,为您的大多数用户提升安全保障。

阅读全文
下载说明:
1、本站所有资源均从互联网上收集整理而来,仅供学习交流之用,因此不包含技术服务请大家谅解!
2、本站不提供任何实质性的付费和支付资源,所有需要积分下载的资源均为网站运营赞助费用或者线下劳务费用!
3、本站所有资源仅用于学习及研究使用,您必须在下载后的24小时内删除所下载资源,切勿用于商业用途,否则由此引发的法律纠纷及连带责任本站和发布者概不承担!
4、本站站内提供的所有可下载资源,本站保证未做任何负面改动(不包含修复bug和完善功能等正面优化或二次开发),但本站不保证资源的准确性、安全性和完整性,用户下载后自行斟酌,我们以交流学习为目的,并不是所有的源码都100%无错或无bug!如有链接无法下载、失效或广告,请联系客服处理!
5、本站资源除标明原创外均来自网络整理,版权归原作者或本站特约原创作者所有,如侵犯到您的合法权益,请立即告知本站,本站将及时予与删除并致以最深的歉意!
6、如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!
7、如果您喜欢该资源,请支持官方正版资源,以得到更好的正版服务!
8、请您认真阅读上述内容,注册本站用户或下载本站资源即您同意上述内容!
原文链接:https://www.dandroid.cn/archives/3031,转载请注明出处。
0

评论0

显示验证码
没有账号?注册  忘记密码?