Ове информације су намењене програмерима чије апликације садрже пропусте у вези са File-based Cross-Site Scripting-ом (скриптовањем динамички генерисаних веб-страница у појединачним датотекама).
Шта се дешава
Једна апликација или више њих садржи пропуст у вези са File-based Cross-Site Scripting-ом који треба да решите. Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Ажурирајте апликације на које се ово односи и исправите пропусте.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.
Додатне информације
WebView-ови са WebSettings-ом који подешава вредност setAllowFileAccessFromFileURLs или setAllowUniversalAccessFromFileURLs на Тачно не смеју да учитавају никакав непоуздан веб-садржај. Ово укључује садржај са поузданих домена који се учитава преко HTTP-а. Злонамерни веб-садржај или мреже могу да убацују скрипте за преусмеравање WebView-а у злонамерну локалну датотеку и покретање напада помоћу Cross-Site Scripting-а са циљем приступа локалним датотекама или колачићима.
Треба да спречите овај пропуст на један од следећих начина:
- Уверите се да WebView-ови немају опасна подешавања
- Уверите се да WebView-ови не могу да учитавају локалне датотеке нити да покрећу JavaScript
- Уверите се да WebView-ови са опасним подешавањима не учитавају непоуздан веб-садржај
1. Како да се уверите да WebView-ови немају опасна подешавања
Ажурирајте android:targetSdkVersion у Манифесту на верзију 16 или новију да бисте користили безбедна подразумевана подешавања за WebView. У супротном, позовите setAllowFileAccessFromFileURLs(false) и setAllowUniversalAccessFromFileURLs(false) да бисте се уверили да су њихови WebView-ови безбедни.
2. Како да се уверите да WebView-ови не могу да учитавају локалне датотеке нити да покрећу JavaScript
Позовите setAllowFileAccess(false) да бисте спречили WebView-ове са опасним подешавањима да учитавају локалне датотеке или позовите setJavaScriptEnabled(false) да бисте спречили WebView-ове са опасним подешавањима да покрећу JavaScript кôд.
3. Како да се уверите да WebView-ови са опасним подешавањима не учитавају непоуздан веб-садржај
Ако WebView мора да омогући ова опасна подешавања, морате да се уверите да не учитава непоуздан веб-садржај. Ово укључује веб-садржај који се учитава преко HTTP-а. Можете да подесите android:usesCleartextTraffic=false или Безбедносну конфигурацију мреже која ће забранити HTTP саобраћај у вашем Манифесту. Уместо тога, можете да се уверите да ниједан WebView са опасним подешавањима не учитава ниједан URL са HTTP шемама.
Треба и да се уверите да WebView-ови са опасним подешавањима не учитавају URL-ове који су добијени од непоузданих извора.
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, можете да контактирате тим подршке за програмере.