webview android怎样防止跨站脚本攻击

在Android WebView中防止跨站脚本攻击（XSS）可以采取以下措施：

1. 启用WebView的JavaScript支持：确保WebView启用了JavaScript，因为XSS攻击通常依赖于执行恶意脚本。在WebView的设置中启用JavaScript：

WebView webView = findViewById(R.id.webview);
WebSettings webSettings = webView.getSettings();
webSettings.setJavaScriptEnabled(true);

2. 使用WebViewClient的shouldInterceptRequest方法过滤恶意资源：通过重写shouldInterceptRequest方法，可以拦截WebView加载的资源，检查其内容是否包含恶意脚本，并进行相应的处理，如删除或替换。

webView.setWebViewClient(new WebViewClient() {
    @Override
    public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) {
        String url = request.getUrl().toString();
        // 检查URL是否包含恶意资源，如包含";
HtmlCompat.fromHtml(htmlContent, HtmlCompat.FROM_HTML_MODE_LEGACY).toString();

4. 使用CookieManager管理Cookie：确保使用安全的Cookie策略，如设置HttpOnly标志，以防止跨站请求伪造（CSRF）攻击。

CookieManager cookieManager = CookieManager.getInstance();
cookieManager.setAcceptCookie(true);
cookieManager.setAcceptThirdPartyCookies(webView, true);
cookieManager.setHttpOnlyCookiesForDomain("example.com", true);

5. 启用WebView的SSL pinning：通过启用SSL pinning，可以确保WebView只加载使用特定证书签发的网站，从而防止中间人攻击。

// 获取默认的TrustManager
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);

// 创建SSLSocketFactory，使用自定义的TrustManager
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());

// 设置WebView的SSLSocketFactory
webView.setWebViewClient(new WebViewClient() {
    @Override
    public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
        // 接受所有证书，用于测试目的
        handler.proceed();
    }
});
webView.getSettings().setJavaScriptEnabled(true);
webView.setWebViewClient(new WebViewClient());
webView.setSSLSocketFactory(sslContext.getSocketFactory());

通过采取这些措施，可以有效地防止Android WebView中的跨站脚本攻击。