Возможно ли, чтобы приложение Android (закодированное в JAVA) без WebView имело уязвимости XSS (отраженный или сохраненный тип)?

Question

Возможно ли, чтобы приложение Android было закодировано только в JAVA с XSS-уязвимостями (отраженного или сохраненного типа)?

Для экземпляра, можем ли мы назвать следующие строки кода, написанные в Android / JAVA:

//input taken from user on EditTextView without any validation
String userAddress  = addressInputEditText.getText(); 

//now just displaying the userAddress on TextView
addressDisplayTextView.setText(userAddress);

имеет уязвимость XSS, если строковый объект userAddress перехватывается и заменяется какой-либо уязвимой строкой между?Если так, то что может быть этой строкой и как мы можем предотвратить ее?

Answer 1

Я сам не знаком с такой проблемой.XSS-атаки в Интернете существуют, потому что браузер может воспринимать что-то, что вы считаете строкой, как потенциальный сценарий, например строку: <script>alert("hello")</script>.

Однако в Android среда выполнения не пытается понятьявляется ли ввод строкой, сценарием или каким-либо другим типом данных.Он рассматривает это как строку.Поэтому, даже если вы пытаетесь ввести какой-то вредоносный код, он не будет выполнен и будет просто отображаться, как любая другая строка.