Disse oplysninger er beregnet til udviklere med apps, der er sårbare over for File-based Cross-Site Scripting.
Hvad sker der?
Én eller flere af dine apps er sårbare over for File-based Cross-Site Scripting, og du skal løse dette problem. Få flere oplysninger ved at gå til meddelelsen i Play Console. Efter de tidsfrister, der vises i Play Console, fjernes alle apps med sikkerhedsbrister, som ikke er rettet, muligvis fra Google Play.
Påkrævet handling
- Log ind i Play Console, og gå til afsnittet Advarsler for at se, hvilke apps der er berørt, og tidsfristerne for at løse disse problemer.
- Opdater dine berørte apps, og ret sårbarheden.
- Indsend de opdaterede versioner af de berørte apps.
Din app gennemgås på ny, når du indsender den igen. Dette kan tage flere timer. Hvis appen består gennemgangen og udgives korrekt, skal du ikke gøre mere. Hvis appen ikke består gennemgangen, udgives den nye appversion ikke, og du modtager en notifikation via mail.
Yderligere oplysninger
WebViews med WebSettings, der angiver enten setAllowFileAccessFromFileURLs eller setAllowUniversalAccessFromFileURLs som Sand, må kun indlæse webindhold, der er tillid til. Dette udelukker indhold fra pålidelige domæner, der indlæses via HTTP. Skadeligt webindhold eller skadelige netværk kan indsætte scripts for at omdirigere et WebView til en skadelig lokal fil og starte et angreb af typen Cross-Site Scripting for at få adgang til private lokale filer eller cookies.
Du kan udbedre sårbarheden på en af følgende måder:
- Sørg for, at WebViews ikke har nogen skadelige indstillinger
- Sørg for, at WebViews ikke kan indlæse lokale filer eller køre JavaScript
- Sørg for, at WebViews med skadelige indstillinger kun indlæser webindhold, der er tillid til
1. Sørg for, at WebViews ikke har nogen skadelige indstillinger
Opdater android:targetSdkVersion i dit manifest til 16 eller nyere for at bruge sikre standardindstillinger for WebView. Du kan også kalde setAllowFileAccessFromFileURLs(false) og setAllowUniversalAccessFromFileURLs(false) for at sørge for, at deres WebViews er sikre.
2. Sørg for, at WebViews ikke kan indlæse lokale filer eller køre JavaScript
Kald setAllowFileAccess(false) for at undgå, at WebViews med skadelige indstillinger indlæser lokale filer, eller kald setJavaScriptEnabled(false) for at undgå, at WebViews med skadelige indstillinger kører JavaScript-kode.
3. Sørg for, at WebViews med skadelige indstillinger kun indlæser webindhold, der er tillid til
Hvis et WebView har brug for at aktivere disse skadelige indstillinger, skal du sørge for, at det kun indlæser webindhold, der er tillid til. Dette udelukker webindhold, som indlæses via HTTP. Du kan angive android:usesCleartextTraffic=false eller angive en konfiguration af netværkssikkerhed, der forhindrer HTTP-trafik i dit manifest. Du kan også sørge for, at WebViews med skadelige indstillinger ikke indlæser nogen webadresser med HTTP-skemaer.
Du bør også sørge for, at WebViews med skadelige indstillinger kun indlæser webadresser, som stammer fra kilder, der er tillid til.
Vi sidder klar til at hjælpe dig
Hvis du har tekniske spørgsmål vedrørende sikkerhedshullet, kan du skrive et indlæg på Stack Overflow og bruge tagget "android-security". Hvis du har spørgsmål til den vejledning, du skal følge for at løse problemet, kan du kontakte vores supportteam til udviklere.