是否有任何不安全的字符串可以使用 setText()
放入 EditText
中?
最近我们的应用受到安全扫描器的影响,EditTexts 从另一个 EditText
加载文本引发了 Reflected XSS 警报。
我知道这可能是 webviews 和一般网站上的一个漏洞,可能会改变构建的 HTML DOMS 甚至执行 javascript。
我想这可能会影响 Android 应用程序的唯一方式是,如果第二个 EditText 的文本稍后以程序员不期望的方式进行处理。
最佳答案
Is there any unsafe strings that may be placed into an EditText using setText() ?
不是真的。正如您所注意到的,您如何使用用户填写到 EditText
中的内容可能存在问题,但 EditText
本身不可编写脚本,因此并不是真正的攻击工具.
Recently our app was subject to a security Scanner and EditTexts loading a text from another EditText raised an Reflected XSS alert.
我不知道有任何与 Android 原生 UI(WebView
之外)相关的 XSS 攻击。毕竟,“XSS”是“跨站点脚本”的简写,Android 原生 UI 没有“站点”。
恕我直言,许多在线安全扫描器都是snake oil .
关于android - 加载文本时,Android EditText 会成为 XSS 的目标吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57084646/