惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
WordPress大学
WordPress大学
宝玉的分享
宝玉的分享
人人都是产品经理
人人都是产品经理
博客园 - 聂微东
IT之家
IT之家
V
V2EX
Jina AI
Jina AI
V
Visual Studio Blog
有赞技术团队
有赞技术团队
博客园 - 司徒正美
博客园 - 叶小钗
The Cloudflare Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
小众软件
小众软件
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 三生石上(FineUI控件)
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Google DeepMind News
Google DeepMind News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
腾讯CDC
Google Online Security Blog
Google Online Security Blog
博客园 - 【当耐特】
Apple Machine Learning Research
Apple Machine Learning Research
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
N
News and Events Feed by Topic
N
News and Events Feed by Topic
The Last Watchdog
The Last Watchdog
W
WeLiveSecurity
月光博客
月光博客
Security Archives - TechRepublic
Security Archives - TechRepublic
Webroot Blog
Webroot Blog
SecWiki News
SecWiki News
博客园_首页
罗磊的独立博客
量子位
Latest news
Latest news
I
Intezer
V
Vulnerabilities – Threatpost
A
Arctic Wolf
Last Week in AI
Last Week in AI
Recent Commits to openclaw:main
Recent Commits to openclaw:main
S
SegmentFault 最新的问题
S
Security Affairs
阮一峰的网络日志
阮一峰的网络日志
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
酷 壳 – CoolShell
酷 壳 – CoolShell
P
Palo Alto Networks Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
N
News | PayPal Newsroom

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
鸿蒙应用安全编码专题系列之Web组件JavaScriptProxy安全
华为开发者联盟 · 2026-05-22 · via 人人都是产品经理

JavaScript Bridge(简称JSBridge)是Hybrid App中WebView(H5页面)与native层(Android/iOS/鸿蒙)进行通信的核心通道,负责实现前端与native代码的交互,是移动应用中典型的高风险攻击面。在鸿蒙系统中,Web组件提供了JavaScriptProxy机制,为前端H5与ArkTS native层的通信提供支持,应用通常会通过注册JavaScriptProxy暴露native接口供前端调用,若未采取规范的安全防护措施,极易被攻击者利用,引发各类安全风险。

 一、背景介绍

JavaScript Bridge(简称JSBridge)是Hybrid App中WebView(H5页面)与native层(Android/iOS/鸿蒙)进行通信的核心通道,负责实现前端与native代码的交互,是移动应用中典型的高风险攻击面。在鸿蒙系统中,Web组件提供了JavaScriptProxy机制,为前端H5与ArkTS native层的通信提供支持,应用通常会通过注册JavaScriptProxy暴露native接口供前端调用,若未采取规范的安全防护措施,极易被攻击者利用,引发各类安全风险。

二、JSBridge核心安全风险

鸿蒙Web组件的JSBridge通信机制,若实现不当,会面临以下4类核心安全风险,均可能导致敏感数据泄露、权限被滥用等严重后果:

2.1 跨站脚本攻击(XSS)与接口越权调用

攻击者通过注入恶意JavaScript代码到H5页面,利用JSBridge调用鸿蒙native接口。若native接口未做权限校验、参数过滤等安全控制,攻击者可通过该方式执行越权操作,如调用系统敏感接口、篡改应用数据等。

2.2 敏感数据泄露

若JSBridge暴露了获取用户敏感数据或全局认证凭据的接口(如AccessToken、SessionId、用户密码等),一旦被攻击者利用,可直接冒充用户身份,访问云端服务、读取本地敏感数据(如数据库、缓存文件),造成用户信息泄露。

2.3 URL跳转与钓鱼攻击

若应用通过JSBridge为H5提供URL加载接口(如鸿蒙WebviewController的loadUrl方法),且未对跳转URL进行白名单校验,攻击者可构造恶意H5页面,调用该接口将用户重定向至伪造的钓鱼网站(如仿银行、仿社交平台登录页),窃取用户输入的账号、密码等核心凭证。

2.4 UXSS漏洞风险

若JSBridge中提供URL跳转(loadUrl)、JavaScript脚本执行(runJavaScript、runJavaScriptExt)等功能,且未做严格的安全校验,可能引发通用跨站脚本(UXSS)攻击,攻击者可通过构造特殊URL或脚本,绕过同源策略,执行恶意代码。

核心防护前提

上述所有风险的防护核心的是URL白名单管控,目前主流有两种实现方案:

  1. 全局URL白名单:对Web组件加载的所有URL进行白名单校验,仅允许白名单内的URL加载和调用JSBridge(前期已有文章针对此方案进行安全风险分析和安全实现方案推荐,可直接参考:鸿蒙应用安全编码专题系列之Web组件URL加载安全 | 华为开发者联盟,本文不重点展开);
  2. 针对JSBridge单独校验白名单:不限制Web组件加载的URL,仅在前端H5调用JSBridge时,对当前页面URL进行白名单校验,仅允许白名单内的URL调用JSBridge(本文重点讨论该方案的不安全实现及防御措施)。

三、JSBridge白名单校验的不安全实现

针对JSBridge单独校验白名单的核心是“获取当前调用JSBridge的H5页面URL,再与白名单比对”,若URL获取方式不当,会导致校验失效,被攻击者通过时序攻击、条件竞争等方式绕过。以下是两种比较常见的不安全实现及问题分析。

3.1 方式一:在onLoadIntercept等回调中获取URL

错误实现逻辑:在Web组件的onLoadIntercept等回调接口中,获取当前页面URL并缓存,后续JSBridge接口调用时,直接使用缓存的URL进行白名单校验。

核心问题:缓存的URL与实际调用JSBridge时的页面URL可能不一致,攻击者可通过延时攻击绕过校验。

错误示例代码

攻击示例(PoC)

攻击结果攻击者的恶意页面(如xxx.github.io)通过延时跳转,使JSBridge校验时使用的缓存URL为白名单地址(https://baidu.com),但实际调用JSBridge的页面为恶意地址,最终成功绕过校验,获取到真实敏感令牌(如下图)。

cke_168.png

3.2 方式二:通过WebviewController.getUrl()获取URL

错误示例代码错误实现逻辑:在JSBridge接口(如getToken)中,通过鸿蒙WebviewController的getUrl()方法获取当前页面URL,再进行白名单校验。

核心问题getUrl()方法本身并非线程安全,读取的是URL的瞬时状态,无法保证与“JSBridge调用时的真实URL”一致。攻击者可通过文件替换、多进程并发读写等方式制造时序差,使getUrl()获取到白名单URL,而实际调用JSBridge的是恶意URL,从而绕过校验。

四、安全实现方案

针对上述不安全实现,鸿蒙系统提供了两种可靠的防御方案,优先推荐使用系统自带的权限配置机制,无需自行实现复杂的校验逻辑,安全性更高、可维护性更强。

4.1 方案一:使用getLastJavascriptProxyCallingFrameUrl()获取真实URL

鸿蒙WebviewController提供了getLastJavascriptProxyCallingFrameUrl()接口(详情参考:Class (WebviewController)-@ohos.web.webview (Webview)-ArkTS API-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者),该接口可获取“最后一次调用注入JavaScript对象的frame的真实URL”,不受时序攻击、条件竞争影响,是替代getUrl()的安全方案。

getLastJavascriptProxyCallingFrameUrlgetLastJavascriptProxyCallingFrameUrl(): string

通过registerJavaScriptProxy或者javaScriptProxy注入JavaScript对象到window对象中。该接口可以获取最后一次调用注入的对象的frame的url。

系统能力: SystemCapability.Web.Webview.Core

返回值:

类型 说明
string 最后一次调用注入的对象的frame的url。

正确实现代码正确示例代码如下,只需将getUrl替换成getLastJavascriptProxyCallingFrameUrl即可。

4.2 方案二:注册JavaScriptProxy时配置permission(优先推荐)

鸿蒙WebviewController的registerJavaScriptProxy接口支持通过permission参数配置JSBridge的URL白名单,由系统自动完成校验,无需自行实现URL获取和比对逻辑,从源头避免校验漏洞,是比较安全、简洁的方案。

具体API如下,参考:Class (WebviewController)-@ohos.web.webview (Webview)-ArkTS API-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者 和 属性-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者

registerJavaScriptProxyregisterJavaScriptProxy(jsObject: object, name: string, methodList: Array<string>, asyncMethodList?: Array<string>, permission?: string): void

registerJavaScriptProxy提供了应用与Web组件加载的网页之间强大的交互能力。注入JavaScript对象到window对象中,并在window对象中调用该对象的方法。

其中permission就是白名单,通过该字符串配置JSBridge的权限管控,可以定义object和method级别的URL白名单。

1. scheme(协议)和host(域名)参数不可为空,且host不支持通配符,只能填写完整的host。

2. 可以仅配置object级别的白名单,该白名单对所有JSBridge方法生效。

3. 若JSBridge方法A设置了method级别的白名单,那么方法A最终的白名单是object级别白名单与method级别白名单的交集。

javaScriptProxyjavaScriptProxy(javaScriptProxy: JavaScriptProxy)

将javaScriptProxy中的ArkTS对象注册到Web组件中,该对象将使用JavaScriptProxy中指定的名称注册到网页的所有框架中,包括所有iframe,这使得JavaScript可以调用javaScriptProxy中ArkTS对象的方法。当属性没有显式调用时,默认不将javaScriptProxy中的ArkTS对象注册到Web组件中。

正确实现代码正确示例代码如下,可以看到,相比于上面的方案,实现简单且安全

防御效果当攻击者尝试通过恶意URL调用该JSBridge时,系统会自动校验当前页面URL是否在permission配置的白名单内,若不在则抛出“Jsb Permission Denied”错误,拒绝执行敏感操作,从源头阻断攻击(如下图)。

五、安全建议

结合上述分析,针对鸿蒙Web组件JSBridge的安全防护,提出以下4点核心建议,覆盖开发、校验、配置全流程:

5.1 优先使用系统自带权限配置

注册JavaScriptProxy时,优先通过permission参数配置URL白名单,禁止自行实现URL校验逻辑,避免因时序攻击、接口使用不当导致的漏洞;permission中scheme仅配置https协议,敏感方法建议额外增加path限制,进一步缩小访问范围。

5.2 避免使用不安全的URL获取方式

若确需自行实现白名单校验,必须使用getLastJavascriptProxyCallingFrameUrl()获取真实URL,严禁使用getUrl()、getOriginalUrl()等接口,避免时序攻击和条件竞争漏洞。

5.3 禁用JSBridge中的高风险功能

避免在JavaScriptProxy中暴露页面加载(loadUrl)、脚本执行(runJavaScript、runJavaScriptExt)等功能,防止引发UXSS攻击;若确需提供此类功能,需对URL、脚本内容进行严格的白名单校验和过滤。

5.4 加强接口权限管控与参数校验

对JSBridge暴露的敏感接口(如获取token/令牌/sessionId等、读取用户数据),除URL白名单校验外,还需增加用户身份校验、参数合法性校验;避免暴露不必要的敏感接口,遵循“最小权限原则”。

其他鸿蒙应用安全编码专题文章请参考:

https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221