Aceste informații le sunt destinate dezvoltatorilor ale căror aplicații sunt vulnerabile la File-based Cross-Site Scripting.
Ce se întâmplă
Una sau mai multe dintre aplicațiile dvs. conțin o vulnerabilitate File-based Cross-Site Scripting care trebuie remediată. Consultați notificarea din Play Console. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Actualizați aplicațiile afectate și remediați vulnerabilitatea.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.
Detalii suplimentare
WebViews cu WebSettings care activează setAllowFileAccessFromFileURLs sau setAllowUniversalAccessFromFileURLs nu trebuie să încarce conținut web care nu prezintă încredere. Acesta include conținutul de la domenii de încredere care este încărcat prin HTTP. Conținutul sau rețelele web rău intenționate pot injecta scripturi ca să redirecționeze componenta WebView către un fișier local rău intenționat și să lanseze un atac Cross-Site Scripting pentru a accesa fișierele locale sau cookie-urile private.
Trebuie să evitați această vulnerabilitate printr-unul dintre următoarele moduri:
- asigurați-vă că nu există setări periculoase ale componentelor WebView;
- asigurați-vă că aceste componente WebView nu pot să încarce fișiere locale sau să execute JavaScript;
- asigurați-vă că acele componente WebView care au setări periculoase nu încarcă conținut web care nu prezintă încredere.
1. Cum vă asigurați că nu există setări periculoase ale componentelor WebView
Actualizați android:targetSdkVersion în Manifest la cel puțin valoarea 16 pentru a folosi setările prestabilite sigure pentru componenta WebView. În caz contrar, apelați setAllowFileAccessFromFileURLs(false) și setAllowUniversalAccessFromFileURLs(false) pentru a vă asigura că acestea au componente WebView asociate sigure.
2. Cum vă asigurați că aceste componente WebView nu pot să încarce fișiere locale sau să execute JavaScript
Apelați setAllowFileAccess(false) pentru a împiedica acele componente WebView cu setări periculoase să încarce fișiere locale sau apelați setJavaScriptEnabled(false) pentru a le împiedica să execute cod JavaScript.
3. Cum vă asigurați că acele componente WebView care au setări periculoase nu încarcă conținut web care nu prezintă încredere
Dacă este necesar ca o componentă WebView să activeze aceste setări periculoase, trebuie să vă asigurați că aceasta nu încarcă conținut web care nu prezintă încredere. Acesta include conținutul web încărcat prin HTTP. Puteți să setați android:usesCleartextTraffic=false sau să setați o configurație Network Security Config care interzice traficul prin HTTP în Manifest ori vă puteți asigura că nicio componentă WebView cu setări periculoase nu încarcă adrese URL cu scheme HTTP.
Trebuie să vă mai asigurați că acele componente WebView cu setări periculoase nu încarcă adrese URL obținute de la surse care nu prezintă încredere.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”. Pentru clarificarea pașilor necesari pentru remedierea acestei probleme, contactați echipa de asistență pentru dezvoltatori.