WebView 的新增安全功能
发布人:Google Android 安全团队 Xiaowen Xin 和 Renu Chaudhary
处理外部不受的信任内容通常是应用最重要的功能之一。新闻应用会显示热门新闻报道,购物应用会显示减价促销的商品。这通常伴随着风险,因为处理不受信任的内容(例如通过向您传输恶意内容)是攻击者入侵应用的主要手段之一。
许多应用都使用 WebView 来处理不受信任的内容,多年来,我们对 Android 进行了许多改进,保护它和您的应用免受侵害。借助 Android Lollipop,我们开始以独立 APK 的形式提供 WebView,每隔六周在 Play 商店中更新一次,从而能够快速进行重要修复。我们在最新版的 WebView 中增加了多项重要的安全升级。
在 Android O 中隔离渲染器进程
从 Android O 开始,WebView 将采用独立于托管应用之外的进程来运行渲染器,充分利用 Android 为其他应用进程提供的隔离空间。
与 Chrome 类似,WebView 目前也提供两级隔离:
渲染引擎被分解为独立进程。这不仅能够在渲染器进程中避免托管应用出现错误或崩溃,还能使恶意网站更难利用渲染器攻击托管应用。
为进一步防御攻击,渲染器进程将在隔离的进程沙盒中运行,从而将其限制为只能获取有限资源。例如,渲染引擎不能自行向磁盘写入数据,或者与网络进行通信。
此外,它还采用与 Android 版 Chrome 相同的 seccomp 过滤器(关于 seccomp 的博文即将发布)。seccomp 过滤器不仅能够减少渲染器进程可访问的系统调用数量,还能限制系统调用允许的参数。
集成安全浏览
最新版 WebView 集成了 Google 安全浏览保护机制,能够探测并提醒用户注意可能存在危险的网站。正确配置后,WebView 将对照安全浏览的恶意软件和钓鱼网站数据库检查网址,在用户访问危险的网站之前发出警告。Chrome 每月会向用户显示这项有用信息 2.5 亿次,现在,Android 版 WebView 也将开始显示这项信息。
启用安全浏览
要在应用中为所有 WebView 启用安全浏览,请加入清单标记:
<manifest>
由于 WebView 是以独立 APK 的形式分发的,现在,运行 Android 5.0 及以上版本的设备已可获取 WebView 安全浏览。只需在您的清单中加入一行代码,便可立即更新应用,为您的大多数用户提升安全保障。
查看更多文章,请关注『谷歌开发者』官方微信公众号
WebView 的新增安全功能相关推荐
- ASP.NET 2.0 中的新增安全功能
发布日期: 8/26/2004 | 更新日期: 8/26/2004 Stephen Walther Microsoft Corporation 适用于: Microsoft ASP.NET 2.0 M ...
- ip guard保证java代码安全_IP-guard加密新增四大功能 让一“密“防百疏
近日内网安全管理企业溢信科技旗下的IP-guard透明加密新增四大功能,分别是明文备份服务器.自定义密钥设置.服务器定期备份以及只读加密,从用户加密文档的储存.备份以及查看上提供了更安全的保障和更有效 ...
- 微信小程序新增推广功能,支持自定义关键词
为方便用户找到所需小程序,并帮助小程序更准确地触达用户,微信小程序向开发者提供了自定义关键词的功能.小程序后台新增推广功能,支持开发者添加与业务相关的自定义关键词.开发者可在小程序后台的 " ...
- android11beta支持什么手机,Android 11 Beta1发布,新增多种功能,网友:Android基于 Flyme...
原标题:Android 11 Beta1发布,新增多种功能,网友:Android基于 Flyme 6.11日消息,谷歌于今日凌晨正式推送了 Android 11 Beta 1 版系统,不仅新增了可悬浮 ...
- 鸿蒙行车记录仪,百度导航新增行车记录仪功能 可消除碰瓷风险
年关将至,市区内各类大型商场.超市.菜市场等地人流密集,此类地点非常容易出现意外状况,市民在驾车出行时千万要提高注意力,警惕碰瓷者倒在你面前.如果事先装载行车记录仪,就能避免一桩"冤案&qu ...
- JeeWx 商业版本最近新增什么功能啦?
JeeWx 商业版本最近新增什么功能啦? 2014-12-18 jeecg JEECG jeewx开发新功能 一.微信墙 此功能可以设置属于该公共号的微信墙,在微信客户端上输入微信墙即可进入微信墙模式 ...
- JEECG 商业版本最近新增什么功能啦?
JEECG 商业版本最近新增什么功能啦? 2014-12-18 JEECG JEECG jeecg增加新的功能啦!!! 1.流程设计器 2.集成工作流引擎activit,智能化封装,在线配置表单,在线 ...
- Visual Studio 2005 中的新增安全性功能
Visual Studio 2005 中的新增安全性功能 Visual Studio 2005 中的新增安全性功能 发布日期: 11/18/2005 | 更新日期: 11/18/2005 Brian ...
- 会员卡券领取 小程序_新增卡券功能在哪 微信小程序内直接领取卡券方法
微信小程序新增卡券功能在哪?怎么在微信小程序内直接领取卡券?近日,微信小程序又新增了几大功能,其中包括卡券功能.用户可以直接从小程序中领取会员卡或者优惠券了,也可以从卡包中的会员卡直达小程序,非常方便 ...
最新文章
- Sublime Text 2 中怎样查找scope的名称
- 【Flutter】Flutter 混合开发 ( 安卓端向 Flutter 传递数据 | FlutterFragment 数据传递 | FlutterActivity 数据传递 )
- 英特尔推出模仿人脑运行方式、拥有800万组神经元的计算机系统
- linux ora 00119,ORA-00119和ORA-00132的解决方案
- OpenCV检测平面物体
- yolov3之pytorch源码解析_springmvc源码架构解析之view
- map型字段 mongodb_MongoDB极简教程
- [模板]洛谷T3379 最近公共祖先(LCA) 倍增+邻接表
- ios笔试题算法_微软笔试题-Dijkstra算法
- EasyUI中取的DataGrid中选中行数据
- Vue.js总结 [2017.6.5]
- telnet直接登录POP3
- Oracle大神资料索引
- es数据定时清理_elasticsearch索引自动清理
- 基于SSM的酒店客房预订管理系统
- 嚼一嚼 class 文件结构
- Linux电脑睡眠后黑屏打不开,Win10系统下电脑休眠或睡眠无法唤醒屏幕黑屏打不开的解决方法...
- 分区助手专业版5.0下载与使用方法
- asp.net IIS7 503错误
- Elasticsearch 实现对Word、PDF等文件进行全文检索
热门文章
- 带有第三方工具的Spring Boot Initilizr
- soap xml_SOAP XML消息–使用Liquid XML Studio进行了解和创建
- springboot之@Async实现异步
- C#使用SetWindowsHookEx时报错“类型的已垃圾回收委托进行了回调”
- MySQL常见面试题,阿⾥校招面试题
- Visual C++ 时尚编程百例013(CRect类)
- minicom在macos
- 短视频App风起云涌 工具+社交属性聚拢用户
- linux mysql 数据按表名称备份
- myBatis连接MySQL报错误:No operations allowed after conn