herramientas google funciones fota eliminar como adups android apache cors httpd.conf same-origin-policy

android - google - como eliminar adups fota



Android Iframe SameOrigin en sitios personalizados (2)

Tenemos una aplicación para Android que está incorporando nuestro sitio web a su aplicación. Sin embargo, para evitar el "click jacking" tenemos la siguiente directiva en nuestras configuraciones de proxy.

Encabezado anexe X-FRAME-OPTIONS "SAMEORIGIN"

Esta es una estrategia común de Intercambio de recursos de origen cruzado.

Lamentablemente, la vista Webview en un navegador Android tiene el origen como file:// que es diferente al dominio que usamos. Esto lleva al error rechazado para mostrar x-frame-options establecido en sameorigin .

¿Qué estrategias (ya sea en el proxy o en el lado del cliente) puedo emplear para permitir que la aplicación de Android interactúe con nuestro sitio (sin eliminar COMPLETAMENTE sameorigin)?

No pienses que puedes hacer eso. Como Chromium no ve Allow-From como función [1], Android depende en gran medida de los marcos de Chromium para WebViews .

Supongo que sus requisitos son bloquear los chasquidos de clic en el navegador.

Como no puedes usar Allow-From . Es posible que desee pensar en un enfoque similar al descrito en esta charla de BlackHat [2], UI Redressing Attacks on Android Devices . Recomiendo leer todo el pdf cosas realmente interesantes.

Consulte el Chapter 5 MITIGATION TECHNIQUES, Section 1 Browser-Based UI Redressing .

<styleid=”antiClickjack”> body{display:none!important;} </style> <scripttype=”text/javascript”> if(self===top){ varantiClickjack=document. getElementById(”antiClickjack”); antiClickjack.parentNode.removeChild(antiClickjack); }else{ top.location=self.location; } </script>

[1] https://code.google.com/p/chromium/issues/detail?id=129139#c20
[2] https://media.blackhat.com/ad-12/Niemietz/bh-ad-12-androidmarcus_niemietz-WP.pdf

WebView tiene un método loadDataWithBaseURL () . Podrías leer en tu archivo y pasarlo con el origen que necesites como URL base.

public void loadDataWithBaseURL(String baseUrl, String data, String mimeType, String encoding, String historyUrl)

Carga los datos dados en este WebView, usando baseUrl como la URL base para el contenido. La URL base se usa tanto para resolver URL relativas como para aplicar la misma política de origen de JavaScript.