修正檔案的 XSS 安全性漏洞

開發人員請注意,如果您的應用程式檔案含有 File-based Cross-Site Scripting 安全性漏洞,請詳閱本文資訊。

最新動態

您的一個或多個應用程式含有必須修正的 File-based Cross-Site Scripting 安全漏洞。請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不需採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

如果 WebviewWebSettingssetAllowFileAccessFromFileURLssetAllowUniversalAccessFromFileURLs 設為 true,Webview 就不能載入任何不受信任的網路內容,包含透過 HTTP 載入的信任網域內容。惡意網頁內容或惡意網路可以藉由植入指令碼,將 WebView 重新導向至惡意的本機檔案並發動跨網站指令碼攻擊,目的是存取私人的本機檔案或 Cookie。

請務必按照下列其中一種方法來避免這個安全性漏洞:

  1. 確定 WebView 的設定不會產生危險
  2. 確定 WebView 無法載入本機檔案或執行 JavaScript
  3. 確定有危險設定的 WebView 不會載入不受信任的網頁內容

1. 確定 WebView 的設定不會產生危險

更新資訊清單中的 android:targetSdkVersion,最低必須設為 16 才能保障 WebView 的預設設定安全無虞。或者,您也可以呼叫 setAllowFileAccessFromFileURLs(false)setAllowUniversalAccessFromFileURLs(false),以確保 WebView 的安全性。

2. 確定 WebView 無法載入本機檔案或執行 JavaScript

呼叫 setAllowFileAccess(false),禁止有危險設定的 WebView 載入本機檔案;或是呼叫 setJavaScriptEnabled(false),禁止有危險設定的 WebView 執行 JavaScript 程式碼。

3. 確定有危險設定的 WebView 不會載入不受信任的網頁內容

如果 WebView 需要啟用這些危險設定,您必須確定 WebView 不會載入不受信任的網頁內容,包括透過 HTTP 載入的網頁內容。您可以在資訊清單中設定 android:usesCleartextTraffic=false,或是將網路安全性設定設為不允許 HTTP 流量。您也可以防止任何有危險設定的 WebView 載入任何使用 HTTP 配置的網址。

除此之外,您還必須防止有危險設定的 WebView 載入從非信任來源取得的網址。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?