是否可以仅用JAVA编码的Android应用程序具有XSS漏洞(反射或存储类型)?

对于实例,我们可以调用以下用Android / JAVA编写的代码行:

//input taken from user on EditTextView without any validation
String userAddress  = addressInputEditText.getText();

//now just displaying the userAddress on TextView
addressDisplayTextView.setText(userAddress);


具有XSS漏洞,如果userAddress字符串对象被截取并将其更改为介于两者之间的任何易受攻击的字符串?如果是这样,那么该字符串是什么,我们如何防止它呢?

最佳答案

我自己对这样的问题不熟悉。之所以存在Web上的XSS攻击,是因为浏览器可以将您认为的某些内容视为字符串或潜在的脚本,例如字符串:<script>alert("hello")</script>

但是,在android中,运行时不会尝试了解输入是字符串,脚本还是其他类型的数据。它将其视为字符串。因此,即使您试图输入一些恶意代码,也不会执行它,而只会像其他任何字符串一样显示它。

10-05 19:37
查看更多