什么是 iOS UIWebView 跨站點腳本

UIWebView加載外部地址的時候遵循了“同源”策略，而加載本地網頁的時候卻繞夠了“同源”策略，導致可以訪問系統任意路徑。這就是UIWebView中存在的UXSS漏洞，攻擊成功后，攻擊者可能得到包括但不限于更高的權限。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序。

修復方案如下：

• 禁用從外部打開HTML文件；(切斷攻擊入口)

• 針對本地HTML文件中腳本做一些權限限制；（初步防范措施）

• 新增一個NSURLProtocol, 專門用來處理本地網頁的加載，根據同源策略來安全地加載本地文件。（徹底的解決方案）

回答所涉及的環境：聯想天逸510S、Windows 10。