У нас есть мобильное приложение, которое работает на iOS и Android и использует библиотеки Apache Cordova.
Недавно наша команда безопасности обнаружила несколько уязвимостей в / org / apache / cordova /Файл engine / SystemWebViewEngine.java.Уязвимость обнаруживается в следующих строках, где злоумышленник может перехватить и внедрить вредоносный javascipt в эти API, которые будут выполняться с привилегиями приложения на клиенте.
@SuppressLint({"NewApi", "SetJavaScriptEnabled"})
private void initWebViewSettings()
{
webView.setInitialScale(0);
webView.setVerticalScrollBarEnabled(false);
final WebSettings localWebSettings = webView.getSettings();
localWebSettings.setJavaScriptEnabled(true);
localWebSettings.setJavaScriptCanOpenWindowsAutomatically(true);
localWebSettings.setLayoutAlgorithm(WebSettings.LayoutAlgorithm.NORMAL);
Не могли бы вы предложить способ смягчить это?.