1、WebView在安卓和iOS平臺上都是很重要的組件,它使得智能手機和平板電腦的應用(apps)都能內(nèi)嵌一個簡單但是強大的瀏覽器在其中。為了滿足應用和其內(nèi)嵌瀏覽器的很好交互,WebView提供了很多 APIs(應用程序編程接口),允許應用的 java代碼調(diào)用網(wǎng)頁中的 javascript代碼,允許獲取對方的事件信息或更改他們的事件,反之依然可行。使用這些特性,應用能夠為了他們所期望的網(wǎng)絡用途而成為一種專有化的瀏覽器?，F(xiàn)如今,在安卓市場中,

2、在十種不同分類下的排名前20的應用中,接近90％都使用 WebView。
　　WebView的設計改變了Web的發(fā)展現(xiàn)狀,尤其是在安全方面。WebView和其APIs的使用,使得Web安全基礎架構中兩個基本的方面被削弱:分別是客戶端的TCB(可信計算基)和瀏覽器端的sandbox(沙盒保護)。我們把WebView的APIs分為兩類,分別是基于Web的APIs和基于UI的APIs,我們分別研究使用這兩類APIs的攻擊手段。隨后我們研

3、究針對WebView攻擊的最根本問題所在,并制定了一個通用模型,我們稱之為容器威脅模型。我們認為造成這種攻擊可行的原因在于系統(tǒng)沒能保護它的視覺完整性。從這個角度來說,我們研究了現(xiàn)有的對策,并給出一個通用的解決方案,制定一個類似TCB的方法來解決這個問題,我們稱之為TDB(可信顯示基)。我們使用邊信道來傳遞丟失的視覺信息給用戶。從訪問控制的角度來看,我們使用動態(tài)的綁定策略模型,使服務器可以根據(jù)客戶端情境的不同執(zhí)行不同的限制措施。