Denne informasjonen gjelder for utviklere med apper som er utsatt for File-based Cross-Site Scripting.
Hva skjer?
Én eller flere av appene dine inneholder et sikkerhetsproblem med File-based Cross-Site Scripting, og dette problemet må løses. Les varselet i Play Console. Etter at tidsfristene som vises i Play Console er utløpt, kan alle appene med uløste sikkerhetsproblemer fjernes fra Google Play.
Handling kreves
- Logg på Play Console og gå til Varsler-delen for å se hvilke apper som er berørt samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene dine og løs sikkerhetsproblemet.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis gjennomgangen er vellykket og appene publiseres som de skal, trenger du ikke å iverksette ytterligere tiltak. Hvis gjennomgangen mislykkes, blir ikke de nye appversjonene publisert, og du mottar et e-postvarsel.
Flere detaljer
WebViews med WebSettings som angir enten setAllowFileAccessFromFileURLs eller setAllowUniversalAccessFromFileURLs som «sann», må ikke laste opp usikkert nettinnhold. Dette inkluderer innhold fra sertifiserte domener som er lastet inn via HTTP. Skadelig nettinnhold eller skadelige nettverk kan sette inn skript for å viderekoble WebView til en skadelig lokal fil og starte et Cross-Site Scripting-angrep for å få tilgang til private lokale filer eller informasjonskapsler.
Du bør forhindre dette sikkerhetsproblemet på én av følgende måter:
- Sørg for at WebViews ikke har usikre innstillinger.
- Sørg for at WebViews ikke kan laste inn lokale filer eller utføre JavaScript.
- Sørg for at WebViews med usikre innstillinger ikke laster opp usikkert nettinnhold.
1. Sørg for at WebViews ikke har usikre innstillinger
Oppdater android:targetSdkVersion i manifestet ditt for til å være på minst 16 for å bruke sikre standardinnstillinger for WebView. Hvis ikke, må du kalle setAllowFileAccessFromFileURLs(false) og setAllowUniversalAccessFromFileURLs(false) for å sørge for at WebViews derfra er sikre.
2. Sørg for at WebViews ikke kan laste inn lokale filer eller kjøre JavaScript
Kall setAllowFileAccess(false) for å hindre at WebViews med usikre innstillinger laster inn lokale filer, eller kall setJavaScriptEnabled(false) for å hindre at WebViews med usikre innstillinger kjører JavaScript-kode.
3. Sørg for at WebViews med usikre innstillinger ikke laster opp usikkert nettinnhold
Hvis en WebView må aktivere disse usikre innstillingene, må du sørge for at det ikke lastes opp usikkert nettinnhold. Dette inkluderer nettinnhold som er lastet inn via HTTP. Du kan angi android:usesCleartextTraffic=false eller angi en Network Security Config som tillater HTTP-trafikk i manifestet ditt. Alternativt kan du sørge for at eventuelle WebViews med usikre innstillinger ikke laster inn nettadresser med HTTP-ordninger.
Du bør også sørge for at WebViews med usikre innstillinger ikke laster inn nettadresser hentet fra usikre kilder.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.