
























鸿蒙ArkWeb组件提供
runJavaScript系列、registerJavaScriptProxy两大核心通信接口,支撑应用Native原生层与前端H5页面的双向数据交互,是鸿蒙混合开发(Hybrid)的核心能力。其中,
runJavaScript系列接口支持Native层主动执行前端JavaScript代码、调用前端自定义函数;registerJavaScriptProxy接口可将Native层方法暴露至H5前端,供前端主动调用,实现完整的双向业务联动。

本原创文章帖发布在华为开发者联盟社区,欢迎开发者前往访问评论交流,更多与该内容相关讨论,请点击原帖查看:鸿蒙应用安全编码专题文章汇总 | 华为开发者联盟
鸿蒙ArkWeb组件提供runJavaScript系列、registerJavaScriptProxy两大核心通信接口,支撑应用Native原生层与前端H5页面的双向数据交互,是鸿蒙混合开发(Hybrid)的核心能力。
其中,runJavaScript系列接口支持Native层主动执行前端JavaScript代码、调用前端自定义函数;registerJavaScriptProxy接口可将Native层方法暴露至H5前端,供前端主动调用,实现完整的双向业务联动。
若业务开发过程中,未对前端传入的函数名称、调用参数、跳转URL等外部可控数据进行严格校验、过滤与转义,攻击者可构造恶意攻击载荷,触发脚本注入漏洞。该漏洞可引发信息泄露、业务越权、页面钓鱼、跨域脚本执行等高危风险,严重危害应用业务安全与用户隐私数据。
当runJavaScript接口的执行脚本、函数名、入参完全由外部可控时,攻击者可注入恶意JS代码,触发跨站脚本攻击(XSS),具体危害如下:
若通过registerJavaScriptProxy将参数可控的runJavaScript接口对外开放,将触发更高危的通用跨站脚本漏洞(UXSS)。
攻击者可借助JSBridge通信通道,在当前Web组件内强制执行任意JS代码,同时结合页面跳转逻辑,将恶意脚本注入跨域、跨页面的全新环境,突破浏览器同源策略限制,实现全域脚本执行、跨域数据窃取等高危攻击,风险危害性远高于常规XSS漏洞。
本次漏洞主要覆盖两大核心场景:一是runJavaScript接口脚本注入(含函数名可控、调用参数可控两类子场景);二是loadUrl接口伪协议注入。以下结合漏洞代码与攻击PoC逐一验证分析。
3.1.1 高危漏洞代码示例Native层通过JSBridge对外开放方法,未对前端传入的可控数据做任何安全校验,直接通过字符串拼接方式执行JS脚本,存在原生注入漏洞。
针对函数名可控、参数可控两个场景,构造前端攻击页面,实现基础XSS脚本注入执行:
PoC原理解读
void(alert("测试1-函数名注入成功")),原生直接执行传入的完整JS脚本,无任何拦截,成功触发弹窗,实现任意JS代码执行。");alert("测试2-参数注入成功");//实现引号闭合,突破原有代码逻辑,拼接后执行代码为onNativeCallback("");alert("测试2-参数注入成功");//"),注释冗余代码并执行恶意脚本。3.1.3 UXSS跨页面注入攻击PoC验证函数名可控场景可触发高阶UXSS攻击,突破同源策略限制,在跨域新页面中执行恶意脚本、窃取跨域敏感数据;参数可控场景因新页面无对应回调函数,会抛出语法错误,无UXSS攻击风险。
UXSS攻击PoC代码如下:
攻击效果:页面跳转至跨域目标域名后,恶意脚本正常执行,可直接窃取新页面Cookie、本地存储等核心敏感数据,完全突破前端同源安全限制。

参数可控场景无此风险,原因是新页面未定义onNativeCallback方法,会直接抛出 “Uncaught ReferenceError: onNativeCallback is not defined” 的语法错误,攻击失效。如下图所示。

除runJavaScript外,Web组件loadUrl/postUrl接口若对外开放且未做协议校验,攻击者可传入javascript:伪协议链接,实现任意JS注入,同时支持UXSS跨页面攻击。
3.2.1 漏洞代码示例
3.2.2 基础XSS攻击PoC攻击者传入javascript:console.log(111)伪协议载荷,可直接执行任意JS代码,实现基础注入攻击。
3.2.3 UXSS跨页面攻击PoC通过Base64编码规避字符拦截,结合页面跳转逻辑,可实现跨域页面恶意脚本执行与数据窃取。
执行结果如下图

针对函数名可控、参数可控、URL伪协议三类高危漏洞场景,结合鸿蒙官方安全开发规范,制定全覆盖、可落地的防御方案。
JSON.stringify()对外部入参转义,自动过滤引号、脚本标签、特殊符号等危险字符,杜绝引号闭合注入风险。对所有传入URL进行协议白名单强制校验,仅放行HTTPS安全协议,拦截javascript:伪协议、HTTP明文协议等高危链接,从根源杜绝伪协议注入攻击。
修复后安全代码示例:
基于上述分析,在使用runJavaScript和loadUrl时,有如下几点建议:
registerJavaScriptProxy对外开放runJavaScript、loadUrl等高风险接口,从根源减少攻击面。JSON.stringify()标准化转义,禁止直接字符串拼接。鸿蒙开发者文档:避免在JavaScriptProxy中提供脚本执行功能
鸿蒙开发者文档:避免在JavaScriptProxy中提供页面加载功能
鸿蒙开发者文档:应用侧调用前端页面函数
鸿蒙开发者文档:前端页面调用应用侧函数
其他鸿蒙应用安全编码专题文章请参考:https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。