Ši informacija skirta kūrėjams, kurių programose yra delikačių funkcijų „JavaScript“ sąsajoje pažeidimų.
Kas vyksta
Žr. pranešimą sistemoje „Play Console“.
Būtini veiksmai
- Atidarę „Google Play“ el. pašto pranešimą, išsiųstą paskyros savininko el. pašto adresu, sužinosite, kurios programos yra paveiktos ir iki kada reikia išspręsti šias problemas.
- Atnaujinkite paveiktas programas ir pataisykite pažeidimą.
- Pateikite atnaujintas paveiktų programų versijas.
Pateikus iš naujo, programa bus peržiūrėta dar kartą. Tai gali užtrukti kelias valandas. Jei programa po peržiūros įvertinama kaip tinkama ir sėkmingai paskelbiama, kitų veiksmų imtis nereikia. Jei programa po peržiūros įvertinama kaip netinkama, nauja jos versija skelbiama nebus, o jūs gausite pranešimą el. paštu.
Papildoma informacija
Pagal piktnaudžiavimo įrenginiu ir tinklu politikos nuostatas, programose ar trečiųjų šalių koduose (pvz., SDK), kuriuose paleidžiant buvo įkelta „JavaScript“, negali būti potencialių „Play“ kūrėjų politikos pažeidimų.
Šiame straipsnyje kalbame apie visus objektus, kuriuose žiniatinklio rodinio funkcijos teikiamos žiniatinklio rodinio kaip „JavaScript“ sąsajos metodu addJavascriptInterface
, kaip aprašyta „Google Developers“ tinklaraščio straipsnyje apie žiniatinklio programų kūrimą žiniatinklio rodinyje.
Galimi šios pažeidimų klasės naudotojų duomenų ir kenkėjiškų programų pažeidimai „JavaScript“ sąsajose. Atsižvelgiant į paveiktas sąsajas, duomenys gali būti renkami nepastoviai ir išfiltruojami kartu su potencialiai žalingomis programomis be programos ar SDK kūrėjo žinios.
Apsisaugoti nuo šio pažeidimo rekomenduojame vienu iš nurodytų būdų.
1 parinktis: įsitikinkite, kad „WebView“ neprideda objektų prie „JavaScript“ sąsajos
Turėtumėte įsitikinti, kad nėra objektų, pridėtų prie bet kurio nepatikimą žiniatinklio turinį įkeliančio „WebView“ „JavaScript“ sąsajos. Tai galima atlikti dviem būdais.
- Įsitikinkite, kad jokie objektai nepridedami prie „JavaScript“ sąsajos per iškvietimus į „addJavascriptInterface“.
-
Pašalinkite objektus iš „JavaScript“ sąsajos užklausoje „shouldInterceptRequest“, pateiktoje per „removeJavascriptInterface“, prieš žiniatinklio rodiniui įkeliant nepatikimą turinį.
2 parinktis: įsitikinkite, kad „JavaScript“ sąsajoje neteikiamos delikačios funkcijos
Įsitikinkite, kad „JavaScript“ sąsajoje nėra pridėta jokių delikačių funkcijų (pvz., „Android“ API iškvietimų, kuriems reikalingi leidimai). Tai apima neskelbtinų duomenų, pvz., informacijos apie naudotoją ar įrenginį, informacijos apie API, pvz., pritaikymo neįgaliesiems ar SMS pranešimų siuntimo, rinkimą. Yra keli būdai, kaip išspręsti problemą.
- Pakartotinai įdiekite visas funkcijas, kurioms reikia leidimų pasiekti neskelbtiną informaciją ar kurios renka neskelbtiną informaciją, kad programa nebūtų iškviesta naudojant programos kodą. Užtikrinkite, kad naudotojams būtų aiškiai pranešama apie paskelbimą.
- Pašalinkite visas funkcijas, teikiančias prieigą prie delikačių funkcijų ar naudotojo duomenų, pasiekiamų naudojant sąsają.
3 parinktis: įsitikinkite, kad žiniatinklio rodinyje delikačios funkcijos nenaudojamos nepatikimam turiniui
Jei žiniatinklio rodinyje yra delikačių funkcijų, jame negalima įkelti kenksmingos „JavaScript“ iš nežinomų šaltinių ir turi būti aiškiai paskelbiama apie naudojamus duomenis ar funkcijas. Įsitikinkite, kad į žiniatinklio rodinį įkeliami tik griežtai ribojami programų kūrėjų URL ir turinys.
Jei pažeidimas nebus sutvarkytas, bus įgyvendinamos programos pažeidimų šalinimo priemonės dėl potencialių „Play“ politikos pažeidimų.
Esame pasirengę padėti
Jei peržiūrėjote politiką ir manote, kad sprendimas galėjo būti klaidingas, susisiekite su politikos palaikymo komanda. Susisieksime su jumis per dvi darbo dienas.
Dėkojame, kad nuolat padedate gerinti „Google Play“ funkcijų ir paslaugų kokybę tiek kūrėjams, tiek naudotojams.