
























JavaScript Bridge(简称JSBridge)是Hybrid App中WebView(H5页面)与native层(Android/iOS/鸿蒙)进行通信的核心通道,负责实现前端与native代码的交互,是移动应用中典型的高风险攻击面。在鸿蒙系统中,Web组件提供了JavaScriptProxy机制,为前端H5与ArkTS native层的通信提供支持,应用通常会通过注册JavaScriptProxy暴露native接口供前端调用,若未采取规范的安全防护措施,极易被攻击者利用,引发各类安全风险。
JavaScript Bridge(简称JSBridge)是Hybrid App中WebView(H5页面)与native层(Android/iOS/鸿蒙)进行通信的核心通道,负责实现前端与native代码的交互,是移动应用中典型的高风险攻击面。在鸿蒙系统中,Web组件提供了JavaScriptProxy机制,为前端H5与ArkTS native层的通信提供支持,应用通常会通过注册JavaScriptProxy暴露native接口供前端调用,若未采取规范的安全防护措施,极易被攻击者利用,引发各类安全风险。
鸿蒙Web组件的JSBridge通信机制,若实现不当,会面临以下4类核心安全风险,均可能导致敏感数据泄露、权限被滥用等严重后果:
攻击者通过注入恶意JavaScript代码到H5页面,利用JSBridge调用鸿蒙native接口。若native接口未做权限校验、参数过滤等安全控制,攻击者可通过该方式执行越权操作,如调用系统敏感接口、篡改应用数据等。
若JSBridge暴露了获取用户敏感数据或全局认证凭据的接口(如AccessToken、SessionId、用户密码等),一旦被攻击者利用,可直接冒充用户身份,访问云端服务、读取本地敏感数据(如数据库、缓存文件),造成用户信息泄露。
若应用通过JSBridge为H5提供URL加载接口(如鸿蒙WebviewController的loadUrl方法),且未对跳转URL进行白名单校验,攻击者可构造恶意H5页面,调用该接口将用户重定向至伪造的钓鱼网站(如仿银行、仿社交平台登录页),窃取用户输入的账号、密码等核心凭证。
若JSBridge中提供URL跳转(loadUrl)、JavaScript脚本执行(runJavaScript、runJavaScriptExt)等功能,且未做严格的安全校验,可能引发通用跨站脚本(UXSS)攻击,攻击者可通过构造特殊URL或脚本,绕过同源策略,执行恶意代码。
上述所有风险的防护核心的是URL白名单管控,目前主流有两种实现方案:
针对JSBridge单独校验白名单的核心是“获取当前调用JSBridge的H5页面URL,再与白名单比对”,若URL获取方式不当,会导致校验失效,被攻击者通过时序攻击、条件竞争等方式绕过。以下是两种比较常见的不安全实现及问题分析。
错误实现逻辑:在Web组件的onLoadIntercept等回调接口中,获取当前页面URL并缓存,后续JSBridge接口调用时,直接使用缓存的URL进行白名单校验。
核心问题:缓存的URL与实际调用JSBridge时的页面URL可能不一致,攻击者可通过延时攻击绕过校验。
错误示例代码
攻击示例(PoC)
攻击结果攻击者的恶意页面(如xxx.github.io)通过延时跳转,使JSBridge校验时使用的缓存URL为白名单地址(https://baidu.com),但实际调用JSBridge的页面为恶意地址,最终成功绕过校验,获取到真实敏感令牌(如下图)。
错误示例代码错误实现逻辑:在JSBridge接口(如getToken)中,通过鸿蒙WebviewController的getUrl()方法获取当前页面URL,再进行白名单校验。
核心问题getUrl()方法本身并非线程安全,读取的是URL的瞬时状态,无法保证与“JSBridge调用时的真实URL”一致。攻击者可通过文件替换、多进程并发读写等方式制造时序差,使getUrl()获取到白名单URL,而实际调用JSBridge的是恶意URL,从而绕过校验。
针对上述不安全实现,鸿蒙系统提供了两种可靠的防御方案,优先推荐使用系统自带的权限配置机制,无需自行实现复杂的校验逻辑,安全性更高、可维护性更强。
鸿蒙WebviewController提供了getLastJavascriptProxyCallingFrameUrl()接口(详情参考:Class (WebviewController)-@ohos.web.webview (Webview)-ArkTS API-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者),该接口可获取“最后一次调用注入JavaScript对象的frame的真实URL”,不受时序攻击、条件竞争影响,是替代getUrl()的安全方案。
getLastJavascriptProxyCallingFrameUrlgetLastJavascriptProxyCallingFrameUrl(): string
通过registerJavaScriptProxy或者javaScriptProxy注入JavaScript对象到window对象中。该接口可以获取最后一次调用注入的对象的frame的url。
系统能力: SystemCapability.Web.Webview.Core
返回值:
| 类型 | 说明 |
|---|---|
| string | 最后一次调用注入的对象的frame的url。 |
正确实现代码正确示例代码如下,只需将getUrl替换成getLastJavascriptProxyCallingFrameUrl即可。
鸿蒙WebviewController的registerJavaScriptProxy接口支持通过permission参数配置JSBridge的URL白名单,由系统自动完成校验,无需自行实现URL获取和比对逻辑,从源头避免校验漏洞,是比较安全、简洁的方案。
具体API如下,参考:Class (WebviewController)-@ohos.web.webview (Webview)-ArkTS API-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者 和 属性-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
registerJavaScriptProxyregisterJavaScriptProxy(jsObject: object, name: string, methodList: Array<string>, asyncMethodList?: Array<string>, permission?: string): void
registerJavaScriptProxy提供了应用与Web组件加载的网页之间强大的交互能力。注入JavaScript对象到window对象中,并在window对象中调用该对象的方法。
其中permission就是白名单,通过该字符串配置JSBridge的权限管控,可以定义object和method级别的URL白名单。
1. scheme(协议)和host(域名)参数不可为空,且host不支持通配符,只能填写完整的host。
2. 可以仅配置object级别的白名单,该白名单对所有JSBridge方法生效。
3. 若JSBridge方法A设置了method级别的白名单,那么方法A最终的白名单是object级别白名单与method级别白名单的交集。
javaScriptProxyjavaScriptProxy(javaScriptProxy: JavaScriptProxy)
将javaScriptProxy中的ArkTS对象注册到Web组件中,该对象将使用JavaScriptProxy中指定的名称注册到网页的所有框架中,包括所有iframe,这使得JavaScript可以调用javaScriptProxy中ArkTS对象的方法。当属性没有显式调用时,默认不将javaScriptProxy中的ArkTS对象注册到Web组件中。
正确实现代码正确示例代码如下,可以看到,相比于上面的方案,实现简单且安全
防御效果当攻击者尝试通过恶意URL调用该JSBridge时,系统会自动校验当前页面URL是否在permission配置的白名单内,若不在则抛出“Jsb Permission Denied”错误,拒绝执行敏感操作,从源头阻断攻击(如下图)。
结合上述分析,针对鸿蒙Web组件JSBridge的安全防护,提出以下4点核心建议,覆盖开发、校验、配置全流程:
注册JavaScriptProxy时,优先通过permission参数配置URL白名单,禁止自行实现URL校验逻辑,避免因时序攻击、接口使用不当导致的漏洞;permission中scheme仅配置https协议,敏感方法建议额外增加path限制,进一步缩小访问范围。
若确需自行实现白名单校验,必须使用getLastJavascriptProxyCallingFrameUrl()获取真实URL,严禁使用getUrl()、getOriginalUrl()等接口,避免时序攻击和条件竞争漏洞。
避免在JavaScriptProxy中暴露页面加载(loadUrl)、脚本执行(runJavaScript、runJavaScriptExt)等功能,防止引发UXSS攻击;若确需提供此类功能,需对URL、脚本内容进行严格的白名单校验和过滤。
对JSBridge暴露的敏感接口(如获取token/令牌/sessionId等、读取用户数据),除URL白名单校验外,还需增加用户身份校验、参数合法性校验;避免暴露不必要的敏感接口,遵循“最小权限原则”。
其他鸿蒙应用安全编码专题文章请参考:
https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。