第一种用户自定义的uri scheme形式如下:
第二种的intent-based uri的语法形式如下:
因为第二种形式大体是第一种形式的特例,所以很多文章又将第二种形式叫intent scheme url,但是在google的官方文档并没有这样的说法。
注意:使用custom uri scheme给app传递数据,只能使用相关参数来传递数据,不能想当然的使用scheme://host#intent;参数;end的形式来构造传给app的intent数据。详见3.1节的说明。
此外,还必须在app的androidmanifest文件中配置相关的选项才能产生网页打开app的效果,具体在下面讲。
需求:使用网页打开一个app,并通过url的参数给app传递一些数据。
如自定义的scheme为:
注意: uri要用utf-8编码和uri编码。
网页端的写法如下:
app端接收来自网页信息的activity,要在androidmanifest.xml文件中activity的intent-filter中声明相应action、category和data的scheme等。
如在mainactivity中接收从网页来的信息,其在androidmanifest.xml中的内容如下:
在mainactivity中接收intent并且获取相应参数的代码:
另外还有以下几个api来获取相关信息:
getintent().getscheme(); //获得scheme名称
getintent().getdatastring(); //获得uri全部路径
getintent().gethost(); //获得host
如果在app中,没有检查获取到的load_url的值,攻击者可以构造钓鱼网站,诱导用户点击加载,就可以盗取用户信息。
接2.1的示例,新建一个webviewactivity组件,从intent里面获取load_url,然后使用webview加载url:
修改mainactivity组件,从网页端的url中获取load_url参数的值,生成新的intent,并传给webviewactivity:
网页端:
钓鱼页面:
点击“打开钓鱼网站”,进入app,并且app加载了钓鱼网站:
本例建议:
在webview加载load_url时,结合app的自身业务采用白名单机制过滤网页端传过来的数据,黑名单容易被绕过。
1、app中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
2、不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到app上使用,会使用脚本动态的生成url scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开app直接就登录了。恶意应用也可以注册相同的url sechme来截取这些敏感信息。android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。
intent-based uri语法:
注意:第二个intent的第一个字母一定要大写,不然不会成功调用app。
如何正确快速的构造网页端的intent?
可以先建个android demo app,按正常的方法构造自己想打开某个组件的intent对象,然后使用intent的touri()方法,会得到intent对象的uri字符串表示,并且已经用utf-8和uri编码好,直接复制放到网页端即可,切记前面要加上“intent:”。
如:
结果:
s.load_url是跟的是intent对象的putextra()方法中的数据。其他类型的数据可以一个个试。如果在demo中的intent对象不能传递给目标app的activity或其他组件,则其uri形式放在网页端也不可能打开app的,这样写个demo容易排查错误。
app端中的androidmanifest.xml的声明写法同2.1节中的app端写法完全一样。对于接收到的uri形式的intent,一般使用intent的parseuri()方法来解析产生新的intent对象,如果处理不当会产生intent scheme url攻击。
为何不能用scheme://host#intent;参数;end的形式来构造传给app的intent数据?
这种形式的intent不会直接被android正确解析为intent,整个scheme字符串数据可以使用intent的getdatasting()方法获取到。
如对于:
在app中获取数据:
结果是:
由上图可知android系统自动为custom uri scheme添加了默认的intent。
要想正确的解析,还需使用intent的parseuri()方法对getdatastring()获取到的数据进行解析,如:
上面两篇文章中都给出了安全使用intent scheme url的方法:
除了以上的做法,还是不要信任来自网页端的任何intent,为了安全起见,使用网页传过来的intent时,还是要进行过滤和检查。