WooYun.org

1. API Level等于或高于17的Android系统【4】
出于安全考虑，为了防止Java层的函数被随便调用，Google在4.2版本之后，规定允许被调用的函数必须以@JavascriptInterface进行注解，所以如果某应用依赖的API Level为17或者以上，就不会受该问题的影响（注：Android 4.2中API Level小于17的应用也会受影响）。按照Google官方文档[5]使用示例：
class JsObject {
@JavascriptInterface
public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");
2. API Level等于或高于17的Android系统
建议不要使用addJavascriptInterface接口，以免带来不必要的安全隐患，请参照博文《在Webview中如何让JS与Java安全地互相调用》[6]。
如果一定要使用addJavascriptInterface接口:
1) 如果使用HTTPS协议加载URL，应进行证书校验防止访问的页面被篡改挂马；
2) 如果使用HTTP协议加载URL，应进行白名单过滤、完整性校验等防止访问的页面被篡改；
3) 如果加载本地Html，应将html文件内置在APK中，以及进行对html页面完整性的校验；
3. 移除Android系统内部的默认内置接口
同时，在2014年发现在Android系统中webkit中默认内置的一个searchBoxJavaBridge_ 接口同时存在远程代码执行漏洞，该漏洞公布于CVE-2014-1939[7], 建议开发者通过以下方式移除该Javascript接口:
removeJavascriptInterface("searchBoxJavaBridge_")
2014年香港理工大学的研究人员Daoyuan Wu和Rocky Chang发现了两个新的攻击向量存在于android/webkit/AccessibilityInjector.java中，分别是"accessibility" 和"accessibilityTraversal" ，调用了此组件的应用在开启辅助功能选项中第三方服务的安卓系统中会造成远程代码执行漏洞。该漏洞公布于CVE-2014-7224, 此漏洞原理与searchBoxJavaBridge_接口远程代码执行相似，均为未移除不安全的默认接口，建议开发者通过以下方式移除该JavaScript接口：
removeJavascriptInterface("accessibility")；
removeJavascriptInterface("accessibilityTraversal")；