没有 WebView 的 Android 应用程序是否有可能存在 XSS 漏洞(反射或存储类型)?
是否可以让仅用 JAVA 编码的 Android 应用程序具有 XSS 漏洞(反射或存储类型)?
例如,我们可以调用以下用 Android/JAVA 编写的代码:
//input taken from user on EditTextView without any validation
String userAddress = addressInputEditText.getText();
//now just displaying the userAddress on TextView
addressDisplayTextView.setText(userAddress);
是否存在 XSS 漏洞,如果 userAddress 字符串对象被拦截并更改为介于两者之间的任何易受攻击的字符串?如果是这样,那么该字符串可能是什么,我们如何防止它?
隔江千里浏览 189回答 1
1回答
-
慕桂英546537
我自己对这样的问题并不熟悉。Web 上的 XSS 攻击之所以存在,是因为浏览器可以将您认为的内容视为字符串、潜在脚本,例如字符串:<script>alert("hello")</script>.但是,在 android 中,运行时不会尝试了解输入是字符串、脚本还是其他类型的数据。它把它当作一个字符串。因此,即使您尝试输入一些恶意代码,它也不会被执行,只会像任何其他字符串一样显示。
随时随地看视频慕课网APP
相关分类
Java