# JsTest

**Repository Path**: aa1000777/JsTest

## Basic Information

- **Project Name**: JsTest
- **Description**: JsTest(Android中调用js方法及js中调用本地方法 )
- **Primary Language**: Java
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2015-03-18
- **Last Updated**: 2020-12-19

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

#AA1000777#
-----------
## 功能介绍 ##
- android中 WebView js的相互调用
- android 4.2 以上版本

在android4.2以前，注入步骤如下：

    webview.getSetting().setJavaScriptEnable(true);  
    class JsObject {  
        public String toString() { return "injectedObject"; }  
     }  
     webView.addJavascriptInterface(new JsObject(), "injectedObject");  



Android4.2及以后，注入步骤如下：
    

    webview.getSetting().setJavaScriptEnable(true);  
    class JsObject {  
        @JavascriptInterface  
        public String toString() { return "injectedObject"; }  
     }  
     webView.addJavascriptInterface(new JsObject(), "injectedObject");  



发现区别没？4.2之前向webview注入的对象所暴露的接口toString没有注释语句@JavascriptInterface，而4.2及以后的则多了注释语句@JavascriptInterface

经过查官方文档所知，因为这个接口允许JavaScript 控制宿主应用程序，这是个很强大的特性，但同时，在4.2的版本前存在重大安全隐患，因为JavaScript 可以使用反射访问注入webview的java对象的public fields，在一个包含不信任内容的WebView中使用这个方法，会允许攻击者去篡改宿主应用程序，使用宿主应用程序的权限执行java代码。因此4.2以后，任何为JS暴露的接口，都需要加

**@JavascriptInterface**

注释，这样，这个Java对象的fields 将不允许被JS访问。

## ApplicationScreenshots ##