В Интернете существует несколько статей об уязвимостях XSS при использовании Android / iOS WebView. Я понимаю основную концепцию XSS; на обычном веб-сайте это может быть достигнуто, например, путем перенаправления кого-либо на URL-адрес с измененной строкой запроса.
Но как бы кто-нибудь начал XSS-атаку на WebView. Я могу вспомнить один пример сам:
Приложение использует диплинк / универсальную ссылку. С помощью этой универсальной ссылки открывается приложение, и намерение загрузит запрошенную страницу.
Когда пользователь нажимает универсальную ссылку, такую как https://example.com/openpage/bar?query=<script>alert('XSS');</script>, и разработчик действительно ленив, это может привести к XSS. Но это довольно легко противостоять. И поэтому нечего слишком бояться.
Можете ли вы придумать какие-либо другие способы использования XSS? Потому что, если упомянутое мной единственное, я думаю, что риск XSS-атаки на WebView минимален.
Редактировать: Ну и, конечно, возможна атака с помощью XSS.