Как обезопасить методы JavascriptInterface отслеживая URL WebView?

Question

Alex @alexjet73

Android
Java

Как обезопасить методы JavascriptInterface отслеживая URL WebView?

Есть класс JavascriptInterface для взаимодействия JS в WebView и Java android.

Класс

class JavaScriptInterface {
Context mContext;
WebView mW;
JavaScriptInterface(Context c,WebView w) {
    mContext = c;
    mW = w;
}
@JavascriptInterface
public void saveJson(String json) {
    if(mW.getUrl().indexOf("file:///android_asset/") == 0){
        if(mContext instanceof MainActivity)
            ((MainActivity)mContext).saveFL(json);
    }
}
@JavascriptInterface
public String loadJson() {
    if(mW.getUrl().indexOf("file:///android_asset/") == 0){
        if(mContext instanceof MainActivity)
           return ((MainActivity)mContext).loadFL();
    }
    return "[]";
}

И в целях безопасности, вызов методов из класса JavascriptInterface хочется сделать только если URL соответствует внутренним ресурсам. Но реализация выше выдает ошибку на строке с mW.getUrl:

A WebView method was called on thread 'JavaBridge'. All WebView methods must be called on the same thread.

Как можно передать в методы JavascriptInterface текущий URL в WebView? Или может есть вариант лучше сделать проверку, чтобы эти функции нельзя была запустить на других сайтах?

Вопрос задан более трёх лет назад
89 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

2 комментария

Alex @alexjet73 Автор вопроса

WebViewClient webViewClient = new WebViewClient() {

            @SuppressWarnings("deprecation") @Override
            public boolean shouldOverrideUrlLoading(WebView view, String url) {
                loadURLs(view, url);
                return true;
            }

            @TargetApi(Build.VERSION_CODES.N) @Override
            public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
                loadURLs(view, request.getUrl().toString());
                return true;
            }

            public void loadURLs(WebView view, String url){
                    view.loadUrl(url);
            }

            @Override
            public void onPageStarted(WebView view, String url, Bitmap favicon) {
                if(url.indexOf("file:///android_asset/") == 0){
                    webView.addJavascriptInterface(new JavaScriptInterface(curact),"JavaFunc");
                } else {
                    webView.removeJavascriptInterface("JavaFunc");
                }
                super.onPageStarted(view, url,favicon);
            }

        };

Так? Или удалять лучше в другом событии?

Написано более трёх лет назад