惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog RSS Feed
P
Proofpoint News Feed
The GitHub Blog
The GitHub Blog
The Register - Security
The Register - Security
Recorded Future
Recorded Future
D
Docker
I
InfoQ
Recent Announcements
Recent Announcements
MongoDB | Blog
MongoDB | Blog
Microsoft Azure Blog
Microsoft Azure Blog
A
About on SuperTechFans
N
Netflix TechBlog - Medium
H
Hackread – Cybersecurity News, Data Breaches, AI and More
云风的 BLOG
云风的 BLOG
Spread Privacy
Spread Privacy
AWS News Blog
AWS News Blog
F
Full Disclosure
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Threatpost
C
Cisco Blogs
P
Proofpoint News Feed
Google DeepMind News
Google DeepMind News
Security Latest
Security Latest
The Hacker News
The Hacker News
Microsoft Security Blog
Microsoft Security Blog
B
Blog
IT之家
IT之家
Latest news
Latest news
D
DataBreaches.Net
T
Tor Project blog
Scott Helme
Scott Helme
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Threat Research - Cisco Blogs
博客园 - 司徒正美
S
SegmentFault 最新的问题
宝玉的分享
宝玉的分享
Project Zero
Project Zero
T
The Exploit Database - CXSecurity.com
P
Privacy International News Feed
Last Week in AI
Last Week in AI
C
CERT Recently Published Vulnerability Notes
WordPress大学
WordPress大学
博客园 - 【当耐特】
C
Cybersecurity and Infrastructure Security Agency CISA
G
GRAHAM CLULEY
小众软件
小众软件
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 聂微东
酷 壳 – CoolShell
酷 壳 – CoolShell
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
鸿蒙应用安全编码专题系列之Web组件runJavaScript安全
华为开发者联盟 · 2026-05-22 · via 人人都是产品经理

鸿蒙ArkWeb组件提供runJavaScript系列、registerJavaScriptProxy两大核心通信接口,支撑应用Native原生层与前端H5页面的双向数据交互,是鸿蒙混合开发(Hybrid)的核心能力。

其中,runJavaScript系列接口支持Native层主动执行前端JavaScript代码、调用前端自定义函数;registerJavaScriptProxy接口可将Native层方法暴露至H5前端,供前端主动调用,实现完整的双向业务联动。

本原创文章帖发布在华为开发者联盟社区,欢迎开发者前往访问评论交流,更多与该内容相关讨论,请点击原帖查看:鸿蒙应用安全编码专题文章汇总 | 华为开发者联盟

 一、背景介绍

鸿蒙ArkWeb组件提供runJavaScript系列、registerJavaScriptProxy两大核心通信接口,支撑应用Native原生层与前端H5页面的双向数据交互,是鸿蒙混合开发(Hybrid)的核心能力。

其中,runJavaScript系列接口支持Native层主动执行前端JavaScript代码、调用前端自定义函数;registerJavaScriptProxy接口可将Native层方法暴露至H5前端,供前端主动调用,实现完整的双向业务联动。

若业务开发过程中,未对前端传入的函数名称、调用参数、跳转URL等外部可控数据进行严格校验、过滤与转义,攻击者可构造恶意攻击载荷,触发脚本注入漏洞。该漏洞可引发信息泄露、业务越权、页面钓鱼、跨域脚本执行等高危风险,严重危害应用业务安全与用户隐私数据。

二、漏洞风险危害分析

2.1 常规XSS漏洞核心危害

runJavaScript接口的执行脚本、函数名、入参完全由外部可控时,攻击者可注入恶意JS代码,触发跨站脚本攻击(XSS),具体危害如下:

  • 用户隐私与账号信息泄露:恶意脚本可窃取当前页面Cookie、Token、LocalStorage存储数据,以及页面展示的手机号、身份证号等敏感信息,并主动外传至攻击者服务器,造成用户核心数据泄露。
  • 业务越权操作(类CSRF风险):依托用户已登录的会话状态,恶意脚本可在WebView内自动发起业务接口请求,非法执行修改密码、更换绑定账号、删除业务数据、伪造表单提交等高危操作。
  • 页面伪造与钓鱼攻击:篡改前端页面展示内容,伪造登录、支付、验证码弹窗等交互界面,诱导用户输入密码、短信验证码、银行卡信息等敏感数据,实施钓鱼诈骗。
  • 应用可用性破坏:通过注入死循环、高资源占用类恶意JS代码,造成WebView页面卡死、应用ANR、渲染进程崩溃,直接导致移动端应用无法正常使用。

2.2 高阶UXSS跨页面脚本注入风险

若通过registerJavaScriptProxy将参数可控的runJavaScript接口对外开放,将触发更高危的通用跨站脚本漏洞(UXSS)

攻击者可借助JSBridge通信通道,在当前Web组件内强制执行任意JS代码,同时结合页面跳转逻辑,将恶意脚本注入跨域、跨页面的全新环境,突破浏览器同源策略限制,实现全域脚本执行、跨域数据窃取等高危攻击,风险危害性远高于常规XSS漏洞。

三、漏洞代码场景与攻击PoC验证

本次漏洞主要覆盖两大核心场景:一是runJavaScript接口脚本注入(含函数名可控、调用参数可控两类子场景);二是loadUrl接口伪协议注入。以下结合漏洞代码与攻击PoC逐一验证分析。

3.1 runJavaScript 接口注入漏洞

3.1.1 高危漏洞代码示例Native层通过JSBridge对外开放方法,未对前端传入的可控数据做任何安全校验,直接通过字符串拼接方式执行JS脚本,存在原生注入漏洞。

3.1.2 常规XSS注入攻击PoC验证

针对函数名可控、参数可控两个场景,构造前端攻击页面,实现基础XSS脚本注入执行:

PoC原理解读

  1. 函数名可控场景:传入载荷void(alert("测试1-函数名注入成功")),原生直接执行传入的完整JS脚本,无任何拦截,成功触发弹窗,实现任意JS代码执行。
  2. 参数可控场景:通过载荷");alert("测试2-参数注入成功");//实现引号闭合,突破原有代码逻辑,拼接后执行代码为onNativeCallback("");alert("测试2-参数注入成功");//"),注释冗余代码并执行恶意脚本。

3.1.3 UXSS跨页面注入攻击PoC验证函数名可控场景可触发高阶UXSS攻击,突破同源策略限制,在跨域新页面中执行恶意脚本、窃取跨域敏感数据;参数可控场景因新页面无对应回调函数,会抛出语法错误,无UXSS攻击风险。

UXSS攻击PoC代码如下:

攻击效果:页面跳转至跨域目标域名后,恶意脚本正常执行,可直接窃取新页面Cookie、本地存储等核心敏感数据,完全突破前端同源安全限制。

cke_1150581.png

参数可控场景无此风险,原因是新页面未定义onNativeCallback方法,会直接抛出 “Uncaught ReferenceError: onNativeCallback is not defined” 的语法错误,攻击失效。如下图所示。

cke_1852342.png

3.2 loadUrl 接口伪协议注入漏洞

runJavaScript外,Web组件loadUrl/postUrl接口若对外开放且未做协议校验,攻击者可传入javascript:伪协议链接,实现任意JS注入,同时支持UXSS跨页面攻击。

3.2.1 漏洞代码示例

3.2.2 基础XSS攻击PoC攻击者传入javascript:console.log(111)伪协议载荷,可直接执行任意JS代码,实现基础注入攻击。

3.2.3 UXSS跨页面攻击PoC通过Base64编码规避字符拦截,结合页面跳转逻辑,可实现跨域页面恶意脚本执行与数据窃取。

执行结果如下图

四、安全防御方案与修复代码

针对函数名可控、参数可控、URL伪协议三类高危漏洞场景,结合鸿蒙官方安全开发规范,制定全覆盖、可落地的防御方案。

4.1 runJavaScript 场景防御策略

  • 函数名可控场景(高危):优先采用固定白名单校验,仅允许业务预设的合法函数名;叠加正则兜底校验,拦截含特殊字符的非法函数名,彻底杜绝任意函数执行。
  • 参数可控场景:统一使用JSON.stringify()对外部入参转义,自动过滤引号、脚本标签、特殊符号等危险字符,杜绝引号闭合注入风险。

4.2 修复后安全代码示例

4.3 loadUrl 接口防御策略

对所有传入URL进行协议白名单强制校验,仅放行HTTPS安全协议,拦截javascript:伪协议、HTTP明文协议等高危链接,从根源杜绝伪协议注入攻击。

修复后安全代码示例:

五、安全建议

基于上述分析,在使用runJavaScript和loadUrl时,有如下几点建议:

  1. 最小权限原则:非必要不通过registerJavaScriptProxy对外开放runJavaScriptloadUrl等高风险接口,从根源减少攻击面。
  2. 函数名严格校验:若必须开放可指定函数名的接口,优先使用固定白名单机制,禁止任意函数名调用;次选方案通过正则表达式校验函数名的合法性,仅允许字母、数字、下划线。
  3. 参数统一转义处理:所有外部可控的JS调用参数,必须通过JSON.stringify()标准化转义,禁止直接字符串拼接。
  4. URL协议白名单管控:所有页面加载接口(loadUrl/postUrl)必须校验协议,仅放行HTTPS协议,禁止伪协议、HTTP明文协议加载。
  5. 外部输入全程过滤:所有来自H5的外部输入数据,均需做长度限制、特殊字符过滤、格式校验,杜绝恶意载荷传入原生接口。

六、相关参考

鸿蒙开发者文档:避免在JavaScriptProxy中提供脚本执行功能

鸿蒙开发者文档:避免在JavaScriptProxy中提供页面加载功能

鸿蒙开发者文档:应用侧调用前端页面函数

鸿蒙开发者文档:前端页面调用应用侧函数

其他鸿蒙应用安全编码专题文章请参考:https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221