uni-app 等保中webview相关的高危漏洞

uni-app 等保中webview相关的高危漏洞

产品分类:

uniapp/App

PC开发环境操作系统:

Windows

PC开发环境操作系统版本号:

Windows 10 企业版,64 位操作系统, 基于 x64 的处理器

HBuilderX类型:

正式

HBuilderX版本号:

3.2.3

手机系统:

Android

手机系统版本号:

Android 11

手机厂商:

华为

手机机型:

检验机构自测

页面类型:

vue

打包方式:

云端

项目创建方式:

HBuilderX

bug描述:

详请见附件,是梆梆安全出的报告。 请问如何解决这两个高危漏洞呀?请问后续会不会在manifest中增加可选配置?

开发环境 版本号 项目创建方式
Windows 10 企业版,64 位操作系统, 基于 x64 的处理器 3.2.3 HBuilderX

更多关于uni-app 等保中webview相关的高危漏洞的实战教程也可以访问 https://www.itying.com/category-93-b0.html

1 回复

更多关于uni-app 等保中webview相关的高危漏洞的实战教程也可以访问 https://www.itying.com/category-93-b0.html


针对您提到的uni-app在等保测评中发现的WebView高危漏洞,通常涉及以下两类常见问题及解决方案:

  1. WebView明文存储风险
    若检测到WebView默认开启密码保存功能,建议在页面中通过plus.webview相关API显式禁用。例如在加载WebView的页面中添加:

    var wv = plus.webview.currentWebview();
wv.setAttribute('password', 'false');

    或通过setWebviewAttribute全局配置禁用密码自动保存。

  2. WebView文件同源策略绕过
    此漏洞可能因WebView未正确限制file协议访问导致。可通过以下方式加固:

    • manifest.jsonapp-plus节点下配置安全策略:
      "app-plus": {
    "security": {
        "file": {
            "access": false
        }
    }
}
回到顶部