Deze informatie is bedoeld voor ontwikkelaars met app(s) die kwetsbaar zijn voor File-based Cross-Site Scripting.
Wat er gebeurt
Een of meer van uw apps bevatten een kwetsbaarheid ten aanzien van File-based Cross-Site Scripting die moet worden verholpen. Bekijk de melding in uw Play Console.Na de deadlines die worden weergegeven in uw Play Console, worden apps met niet-opgeloste beveiligingsproblemen verwijderd uit Google Play.
Actie vereist
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp de kwetsbaarheid.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat uw app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoeft u verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en ontvangt u een e-mailmelding.
Aanvullende details
WebViews met WebSettings waarvoor setAllowFileAccessFromFileURLs of setAllowUniversalAccessFromFileURLs is ingesteld op 'true' (waar), mogen geen onbetrouwbare webcontent laden. Dit omvat content van vertrouwde domeinen die via HTTP wordt geladen. Schadelijke webcontent of netwerken kunnen scripts injecteren om de WebView om te leiden naar een schadelijk lokaal bestand en een XSS-aanval te starten om toegang te verkrijgen tot lokale privébestanden of -cookies.
U moet deze kwetsbaarheid op een van de volgende manieren voorkomen:
- Zorg ervoor dat WebViews geen gevaarlijke instellingen bevatten
- Zorg ervoor dat WebViews geen lokale bestanden kunnen laden of JavaScript kunnen uitvoeren
- Zorg ervoor dat WebViews met gevaarlijke instellingen geen onbetrouwbare webcontent laden
1. Zorgen dat WebViews geen gevaarlijke instellingen bevatten
Update de android:targetSdkVersion in uw manifest naar minimaal 16 om veilige standaardinstellingen voor WebView te gebruiken. Roep in andere gevallen setAllowFileAccessFromFileURLs(false) en setAllowUniversalAccessFromFileURLs(false) aan om te zorgen dat de WebViews veilig zijn.
2. Zorgen dat WebViews geen lokale bestanden kunnen laden of JavaScript kunnen uitvoeren
Roep setAllowFileAccess(false) aan om te voorkomen dat WebViews met gevaarlijke instellingen lokale bestanden kunnen laden of roep setJavaScriptEnabled(false) aan om te voorkomen dat WebViews met gevaarlijke instellingen JavaScript-code kunnen uitvoeren.
3. Zorgen dat WebViews met gevaarlijke instellingen geen onbetrouwbare webcontent laden
Als een WebView deze gevaarlijke instellingen moet inschakelen, moet u ervoor zorgen dat er geen onbetrouwbare webcontent wordt geladen. Dit omvat webcontent die via HTTP wordt geladen. U kunt android:usesCleartextTraffic=false instellen of een netwerkbeveiligingsconfiguratie instellen waarmee er geen HTTP-verkeer wordt toegestaan in uw Manifest. U kunt er ook voor zorgen dat WebViews met gevaarlijke instellingen geen URL's met HTTP-schema's laden.
U moet er ook voor zorgen dat WebViews met gevaarlijke instellingen geen URL's laden die zijn verkregen via onbetrouwbare bronnen.
We helpen u graag
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.