Bu bilgi, File-based Cross-Site Scripting güvenlik açığını içeren uygulamaların geliştiricileri için hazırlanmıştır.
Neler oluyor?
Uygulamalarınızı biri veya birkaçı, düzeltilmesi gereken Dosya Tabanlı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı içeriyor. Lütfen Play Console hesabınızdaki bildirime bakın. Play Console hesabınızda gösterilen son tarihten sonra düzeltilmemiş güvenlik açıkları içeren tüm uygulamalar Google Play'den kaldırılabilir.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek ayrıntılar
setAllowFileAccessFromFileURLs
veya setAllowUniversalAccessFromFileURLs
ayarları, True olarak belirlenmiş WebSettings
'li WebViews
, güvenilmeyen web içeriği yüklememelidir. Buna HTTP üzerinden yüklenen güvenilir alanlardaki içerikler de dahildir. Kötü amaçlı web içeriği veya ağlar WebView'u kötü amaçlı bir yerel dosyaya yönlendirmek için dizeler yerleştirebilir ve gizli yerel dosyalara ya da çerezlere erişmek için Cross-Site Scripting saldırısı başlatabilir.
Bu güvenlik açığını aşağıdaki yöntemlerden birini kullanarak engellemeniz gerekir:
- WebView'ların tehlikeli ayarları olmadığından emin olun
- WebView'ların yerel dosyalar yükleyemeyeceğinden veya JavaScript'i çalıştıramayacağından emin olun
- Tehlikeli ayarları olan WebView'ların güvenilir olmayan web içeriğini yüklemediğinden emin olun
1. WebView'ların tehlikeli ayarları olmadığından emin olun
Manifest'inizde android:targetSdkVersion
sürümünü en az 16 olacak şekilde güncelleyerek WebView için güvenli varsayılan ayarları kullanabilirsiniz. Aksi takdirde, setAllowFileAccessFromFileURLs(false)
ve setAllowUniversalAccessFromFileURLs(false)
işlevlerini çağırarak WebView'larının güvenli olduğundan emin olun.
2. WebView'ların yerel dosyalar yükleyemeyeceğinden veya JavaScript'i çalıştıramayacağından emin olun
Tehlikeli ayarları olan WebView'ların yerel dosyalar yüklemesini engellemek için setAllowFileAccess(false)
işlevini çağırın veya tehlikeli ayarları olan WebView'ların JavaScript kodunu uygulamasını engellemek için setJavaScriptEnabled(false)
işlevini çağırın.
3. Tehlikeli ayarları olan WebView'ların güvenilir olmayan web içeriğini yüklemediğinden emin olun
Bir WebView'un bu tehlikeli ayarları etkinleştirmesi gerekiyorsa güvenilir olmayan web içeriğini yüklemediğinden emin olmanız gerekir. Buna HTTP üzerinden yüklenen web içeriği de dahildir. Manifest'inizde HTTP trafiğine izin vermeyen android:usesCleartextTraffic=false
veya Network Security Config ayarını belirtebilirsiniz. Alternatif olarak, tehlikeli ayarları olan WebView'ların HTTP şemaları içeren URL'leri yüklememesini sağlayabilirsiniz.
Ayrıca tehlikeli ayarları olan WebView'ların güvenilir olmayan kaynaklardan edinilen URL'leri yüklemediğinden emin olmanız gerekir.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili bilgi almak isterseniz geliştirici destek ekibimize ulaşabilirsiniz.