本原创文章帖发布在华为开发者联盟社区欢迎开发者前往访问评论交流更多与该内容相关讨论请点击原帖查看鸿蒙应用安全编码专题文章汇总 | 华为开发者联盟一、背景介绍JavaScript Bridge简称JSBridge是Hybrid App中WebViewH5页面与native层Android/iOS/鸿蒙进行通信的核心通道负责实现前端与native代码的交互是移动应用中典型的高风险攻击面。在鸿蒙系统中Web组件提供了JavaScriptProxy机制为前端H5与ArkTS native层的通信提供支持应用通常会通过注册JavaScriptProxy暴露native接口供前端调用若未采取规范的安全防护措施极易被攻击者利用引发各类安全风险。二、JSBridge核心安全风险鸿蒙Web组件的JSBridge通信机制若实现不当会面临以下4类核心安全风险均可能导致敏感数据泄露、权限被滥用等严重后果2.1 跨站脚本攻击XSS与接口越权调用攻击者通过注入恶意JavaScript代码到H5页面利用JSBridge调用鸿蒙native接口。若native接口未做权限校验、参数过滤等安全控制攻击者可通过该方式执行越权操作如调用系统敏感接口、篡改应用数据等。2.2 敏感数据泄露若JSBridge暴露了获取用户敏感数据或全局认证凭据的接口如AccessToken、SessionId、用户密码等一旦被攻击者利用可直接冒充用户身份访问云端服务、读取本地敏感数据如数据库、缓存文件造成用户信息泄露。2.3 URL跳转与钓鱼攻击若应用通过JSBridge为H5提供URL加载接口如鸿蒙WebviewController的loadUrl方法且未对跳转URL进行白名单校验攻击者可构造恶意H5页面调用该接口将用户重定向至伪造的钓鱼网站如仿银行、仿社交平台登录页窃取用户输入的账号、密码等核心凭证。2.4 UXSS漏洞风险若JSBridge中提供URL跳转loadUrl、JavaScript脚本执行runJavaScript、runJavaScriptExt等功能且未做严格的安全校验可能引发通用跨站脚本UXSS攻击攻击者可通过构造特殊URL或脚本绕过同源策略执行恶意代码。核心防护前提上述所有风险的防护核心的是URL白名单管控目前主流有两种实现方案全局URL白名单对Web组件加载的所有URL进行白名单校验仅允许白名单内的URL加载和调用JSBridge前期已有文章针对此方案进行安全风险分析和安全实现方案推荐可直接参考鸿蒙应用安全编码专题系列之Web组件URL加载安全 | 华为开发者联盟本文不重点展开针对JSBridge单独校验白名单不限制Web组件加载的URL仅在前端H5调用JSBridge时对当前页面URL进行白名单校验仅允许白名单内的URL调用JSBridge本文重点讨论该方案的不安全实现及防御措施。三、JSBridge白名单校验的不安全实现针对JSBridge单独校验白名单的核心是“获取当前调用JSBridge的H5页面URL再与白名单比对”若URL获取方式不当会导致校验失效被攻击者通过时序攻击、条件竞争等方式绕过。以下是两种比较常见的不安全实现及问题分析。3.1 方式一在onLoadIntercept等回调中获取URL错误实现逻辑在Web组件的onLoadIntercept等回调接口中获取当前页面URL并缓存后续JSBridge接口调用时直接使用缓存的URL进行白名单校验。核心问题缓存的URL与实际调用JSBridge时的页面URL可能不一致攻击者可通过延时攻击绕过校验。错误示例代码//1、定义JavaScriptProxy对象 class TestObj1 { private _url: string ; public setUrl(value: string) { this._url value; } public getUrl(): string { return this._url; } constructor() { } getToken(): string { console.log(get token : this._url); //2、域名白名单校验 if (isUrlInWhitelist(this._url)) { return real token; } return fake token; } } //域名白名单校验方法 function isUrlInWhitelist(url: string) { let whitelist [baidu.com, b.example.com]; try { const urlObj new uri.URI(url); if (whitelist.includes(urlObj.host) https urlObj.scheme) { return true; } } catch (e) { return false; } return false; } //3、onControllerAttached回调中注册getToken方法 this.controller.registerJavaScriptProxy(this.testObjtest1, objName1, [getToken]); //4、onLoadIntercept回调中设置url用于校验 .onLoadIntercept((event) { if (event) { console.info(onLoadIntercept url: event.data.getRequestUrl()) this.testObjtest1.setUrl(event.data.getRequestUrl()); } return false; })攻击示例PoCbutton onclickgettokenclick me/button script typetext/javascript function gettoken(){ // 频繁跳转至白名单URL让缓存的URL为白名单地址 setInterval(gotowhite, 5); // 延时执行JSBridge调用此时页面已被替换为恶意地址但缓存URL仍为白名单 setTimeout(getUserInfo, 500); function gotowhite() { top.location.href https://baidu.com; // 白名单内URL } function getUserInfo() { if (window.objName1) { var token window.objName1.getToken(); // 调用JSBridge获取敏感令牌 console.log(get token : token); document.write(get token result : token); } else { console.error(no window objName1); document.write(get token fail : no window objName1); } } } /script攻击结果攻击者的恶意页面如xxx.github.io通过延时跳转使JSBridge校验时使用的缓存URL为白名单地址https://baidu.com但实际调用JSBridge的页面为恶意地址最终成功绕过校验获取到真实敏感令牌如下图。​3.2 方式二通过WebviewController.getUrl()获取URL错误示例代码错误实现逻辑在JSBridge接口如getToken中通过鸿蒙WebviewController的getUrl()方法获取当前页面URL再进行白名单校验。// 1、定义JavaScriptProxy对象 class TestObj2 { webviewcontroller: webview.WebviewController; constructor(webviewcontroller: webview.WebviewController) { this.webviewcontroller webviewcontroller; } getToken(): string { // 2、通过getUrl()获取URL核心错误点 let url this.webviewcontroller.getUrl(); console.log(get token : url); // 3、白名单校验 if (isUrlInWhitelist(url)) { return real token; // 校验通过返回真实令牌 } return fake token; // 校验失败返回虚假令牌 } } // 白名单校验函数 function isUrlInWhitelist(url: string) { let whitelist [baidu.com, b.example.com]; try { const urlObj new uri.URI(url); // 校验协议为https且域名在白名单内 if (whitelist.includes(urlObj.host) https urlObj.scheme) { return true; } } catch (e) { return false; } return false; } // 4、初始化WebviewController和JavaScriptProxy controller: webview.WebviewController new webview.WebviewController(); testObjtest2: TestObj2 new TestObj2(this.controller); // 5、注册JavaScriptProxy this.controller.registerJavaScriptProxy(this.testObjtest2, objName2, [getToken]);核心问题getUrl()方法本身并非线程安全读取的是URL的瞬时状态无法保证与“JSBridge调用时的真实URL”一致。攻击者可通过文件替换、多进程并发读写等方式制造时序差使getUrl()获取到白名单URL而实际调用JSBridge的是恶意URL从而绕过校验。四、安全实现方案针对上述不安全实现鸿蒙系统提供了两种可靠的防御方案优先推荐使用系统自带的权限配置机制无需自行实现复杂的校验逻辑安全性更高、可维护性更强。4.1 方案一使用getLastJavascriptProxyCallingFrameUrl()获取真实URL鸿蒙WebviewController提供了getLastJavascriptProxyCallingFrameUrl()接口详情参考Class (WebviewController)-ohos.web.webview (Webview)-ArkTS API-ArkWeb方舟Web-应用框架 - 华为HarmonyOS开发者该接口可获取“最后一次调用注入JavaScript对象的frame的真实URL”不受时序攻击、条件竞争影响是替代getUrl()的安全方案。getLastJavascriptProxyCallingFrameUrlgetLastJavascriptProxyCallingFrameUrl(): string通过registerJavaScriptProxy或者javaScriptProxy注入JavaScript对象到window对象中。该接口可以获取最后一次调用注入的对象的frame的url。系统能力SystemCapability.Web.Webview.Core返回值类型说明string最后一次调用注入的对象的frame的url。正确实现代码正确示例代码如下只需将getUrl替换成getLastJavascriptProxyCallingFrameUrl即可。// 1、定义JavaScriptProxy对象 class TestObj2 { webviewcontroller: webview.WebviewController; constructor(webviewcontroller: webview.WebviewController) { this.webviewcontroller webviewcontroller; } getToken(): string { // 2、使用安全接口获取真实调用URL核心修改点 let url this.webviewcontroller.getLastJavascriptProxyCallingFrameUrl(); console.log(get token : url); // 3、白名单校验逻辑不变 if (isUrlInWhitelist(url)) { return real token; } return fake token; } } // 白名单校验函数与错误示例一致 function isUrlInWhitelist(url: string) { let whitelist [baidu.com, b.example.com]; try { const urlObj new uri.URI(url); if (whitelist.includes(urlObj.host) https urlObj.scheme) { return true; } } catch (e) { return false; } return false; } // 4、初始化与注册逻辑不变 controller: webview.WebviewController new webview.WebviewController(); testObjtest2: TestObj2 new TestObj2(this.controller); this.controller.registerJavaScriptProxy(this.testObjtest2, objName2, [getToken]);4.2 方案二注册JavaScriptProxy时配置permission优先推荐鸿蒙WebviewController的registerJavaScriptProxy接口支持通过permission参数配置JSBridge的URL白名单由系统自动完成校验无需自行实现URL获取和比对逻辑从源头避免校验漏洞是比较安全、简洁的方案。具体API如下参考Class (WebviewController)-ohos.web.webview (Webview)-ArkTS API-ArkWeb方舟Web-应用框架 - 华为HarmonyOS开发者 和 属性-Web-ArkTS 组件-ArkWeb方舟Web-应用框架 - 华为HarmonyOS开发者registerJavaScriptProxyregisterJavaScriptProxy(jsObject: object, name: string, methodList: Arraystring, asyncMethodList?: Arraystring, permission?: string): voidregisterJavaScriptProxy提供了应用与Web组件加载的网页之间强大的交互能力。注入JavaScript对象到window对象中并在window对象中调用该对象的方法。其中permission就是白名单通过该字符串配置JSBridge的权限管控可以定义object和method级别的URL白名单。1. scheme协议和host域名参数不可为空且host不支持通配符只能填写完整的host。2. 可以仅配置object级别的白名单该白名单对所有JSBridge方法生效。3. 若JSBridge方法A设置了method级别的白名单那么方法A最终的白名单是object级别白名单与method级别白名单的交集。javaScriptProxyjavaScriptProxy(javaScriptProxy: JavaScriptProxy)将javaScriptProxy中的ArkTS对象注册到Web组件中该对象将使用JavaScriptProxy中指定的名称注册到网页的所有框架中包括所有iframe这使得JavaScript可以调用javaScriptProxy中ArkTS对象的方法。当属性没有显式调用时默认不将javaScriptProxy中的ArkTS对象注册到Web组件中。正确实现代码正确示例代码如下可以看到相比于上面的方案实现简单且安全// 1、定义JavaScriptProxy对象无需自行实现URL校验 class TestObj3 { constructor() { } // 敏感接口获取用户令牌 getToken(): string { return real token; } } // 2、配置白名单permission参数 // 仅允许https协议、baidu.com域名的页面调用该JSBridge let permission: string {javascriptProxyPermission:{urlPermissionList:[{scheme:https,host:baidu.com}]}} // 3、初始化WebviewController和JavaScriptProxy controller: webview.WebviewController new webview.WebviewController(); testObjtest3: TestObj3 new TestObj3(); // 4、注册时配置permission系统自动校验URL this.controller.registerJavaScriptProxy(this.testObjtest3, objName3, [getToken], [], permission);防御效果当攻击者尝试通过恶意URL调用该JSBridge时系统会自动校验当前页面URL是否在permission配置的白名单内若不在则抛出“Jsb Permission Denied”错误拒绝执行敏感操作从源头阻断攻击如下图。​五、安全建议结合上述分析针对鸿蒙Web组件JSBridge的安全防护提出以下4点核心建议覆盖开发、校验、配置全流程5.1 优先使用系统自带权限配置注册JavaScriptProxy时优先通过permission参数配置URL白名单禁止自行实现URL校验逻辑避免因时序攻击、接口使用不当导致的漏洞permission中scheme仅配置https协议敏感方法建议额外增加path限制进一步缩小访问范围。5.2 避免使用不安全的URL获取方式若确需自行实现白名单校验必须使用getLastJavascriptProxyCallingFrameUrl()获取真实URL严禁使用getUrl()、getOriginalUrl()等接口避免时序攻击和条件竞争漏洞。5.3 禁用JSBridge中的高风险功能避免在JavaScriptProxy中暴露页面加载loadUrl、脚本执行runJavaScript、runJavaScriptExt等功能防止引发UXSS攻击若确需提供此类功能需对URL、脚本内容进行严格的白名单校验和过滤。5.4 加强接口权限管控与参数校验对JSBridge暴露的敏感接口如获取token/令牌/sessionId等、读取用户数据除URL白名单校验外还需增加用户身份校验、参数合法性校验避免暴露不必要的敏感接口遵循“最小权限原则”。其他鸿蒙应用安全编码专题文章请参考https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221