求解 webview 的一个安全问题，

2017-09-28 11:56:39 +08:00

valley

我将程序中的值通过调用 h5 的 js 方法传给网页，这里面有没有可能被人拦截，然后获取这个值

8266 次点击

所在节点

11 条回复

KNOX

2017-09-28 12:00:19 +08:00

有

lwbjing

2017-09-28 12:00:24 +08:00

不管你是 h 几，js 经手了，就可以拦截到的。。

valley

2017-09-28 12:03:24 +08:00

@lwbjing 具体能提醒下关键字么，我去搜一下，因为我目前有个项目要我把密码通过 js 传给 webview,我感觉不妥。

chenyu8674

2017-09-28 13:14:22 +08:00

js 内进行加密后再传，解密验证交给 Server

JarvisTang

2017-09-28 13:22:11 +08:00

干嘛传密码？直接传一个 Token 啊

微信公众号的文章就是网页，只传了登录状态。

vjnjc

2017-09-28 13:57:40 +08:00

native 程序传给 webview 过程是没法拦截的，之后就和 web 一样，改上 https 就上 https

kuro1

2017-09-28 14:00:58 +08:00

密码明文不可取

debuggerx

2017-09-28 15:03:23 +08:00

lz 怕是不知道 chrome 自带的 webview 远程调试工具……

henices

2017-09-28 15:10:37 +08:00

android 机器 root 了话，基本都能干了。

xomix

2017-09-28 15:18:49 +08:00

不用有没有可能，肯定可以。
建议传递的是 sso 的 token 之类的登陆令牌，令牌一定时间后失效这样可以很好的控制这种传递。

fengleidongxi

2017-09-30 23:00:19 +08:00

有可能

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.