Tiedostopohjaisen XSS-haavoittuvuuden korjaaminen

Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa on tiedostopohjaisia Cross-site scripting ‑haavoittuvuuksia.

Mistä on kyse?

Yhdessä tai useammassa sovelluksessasi on tiedostopohjainen cross-site scripting ‑haavoittuvuus, joka täytyy korjata. Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset poistetaan Google Playsta.

Edellyttää toimia

  1. Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
  2. Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
  3. Lähetä sovellusten päivitetyt versiot.

Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.

Lisätietoja

Jos WebView'n WebSettingsin setAllowFileAccessFromFileURLs- tai setAllowUniversalAccessFromFileURLs-arvo on tosi, se ei saa ladata epäluotettavaa verkkosisältöä. Tämä koskee myös luotettavista verkkotunnuksista HTTP:llä ladattua sisältöä. Haitallinen verkkosisältö tai verkko voi lisätä skriptejä, jotka ohjaavat WebView'n uudelleen haitalliseen paikallistiedostoon ja käynnistävät XSS-hyökkäyksen yksityisten paikallistiedostojen tai evästeiden lukemiseksi.

Korjaa tämä haavoittuvuus jollakin seuraavista tavoista:

  1. Varmista, että kaikki WebView-asetukset ovat turvalliset
  2. Varmista, etteivät WebView't voi ladata paikallisia tiedostoja tai suorittaa JavaScriptiä
  3. Varmista, että vaarallisesti määritetyt WebView't eivät lataa epäluotettavaa verkkosisältöä

1. Varmista, että WebView-asetukset ovat turvalliset

Päivitä android:targetSdkVersion teknisissä tiedoissa versioon 16 tai uudempaan, niin WebView'n oletusasetukset ovat turvalliset. Vaihtoehtoisesti kutsu setAllowFileAccessFromFileURLs(false) ja setAllowUniversalAccessFromFileURLs(false) varmistaaksesi, että niiden WebView't ovat turvalliset.

2. Varmista, etteivät WebView't voi ladata paikallisia tiedostoja tai suorittaa JavaScriptiä

Kutsu setAllowFileAccess(false), jolloin vaarallisesti määritetyt WebView't eivät voi ladata paikallisia tiedostoja, tai kutsu setJavaScriptEnabled(false), jolloin vaarallisesti määritetyt WebView't eivät voi suorittaa JavaScript-koodia.

3. Varmista, että vaarallisesti määritetyt WebView't eivät lataa epäluotettavaa verkkosisältöä

Jos WebView'llä on oltava vaarallisia asetuksia, varmista, ettei se lataa epäluotettavaa verkkosisältöä. Tämä käsittää myös HTTP:llä ladatun verkkosisällön. Määritä android:usesCleartextTraffic=false tai määritä HTTP-liikenteen estävä Network Security Config teknisissä tiedoissa. Toinen vaihtoehto on varmistaa, että vaarallisesti määritetyt WebView't eivät lataa HTTP-URL-osoitteita.

Varmista myös, että vaarallisesti määritetyt WebView't eivät lataa epäluotettavista lähteistä saatuja URL-osoitteita.

Autamme mielellämme

Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.

false
Päävalikko
14764246794792230834
true
Ohjekeskushaku
true
true
true
true
true
5016068
false
false