ArkWeb 高级安全模式 - 提升应用安全性

本文旨在深入探讨华为鸿蒙 HarmonyOS Next 系统（截止目前 API12）的技术细节，基于实际开发实践进行总结。

主要作为技术分享与交流载体，难免错漏，欢迎各位同仁提出宝贵意见和问题，以便共同进步。

本文为转载内容，转载至 SameX

简介

ArkWeb 框架的高级安全模式为开发者提供了更强大的安全控制能力，可以帮助开发者提升应用的安全性，防止针对 Web 应用的攻击。本文将介绍 ArkWeb 高级安全模式的各项特性，以及如何开启和使用这些特性，并探讨其他安全措施，例如 CSP 策略、X-Frame-Options 头和 X-Content-Type-Options 头。

高级安全模式特性

ArkWeb 高级安全模式提供了以下安全特性：

• 禁用 WebAssembly： WebAssembly 是一种新的 Web 标准，它允许开发者使用多种编程语言（例如 C/C++、Rust 等）编写代码，并将其编译为可以在浏览器中运行的代码。WebAssembly 具有高性能和低开销的特点，但也存在安全风险，例如代码注入攻击。

• 禁用 WebGL/WebGL2： WebGL 是 Web 标准，它允许开发者使用 HTML5 canvas 元素创建 2D 和 3D 图形。WebGL/WebGL2 具有强大的图形渲染能力，但也存在安全风险，例如内存泄露攻击和缓冲区溢出攻击。

• 禁用 PDF viewer 预览功能： PDF viewer 预览功能允许用户在浏览器中预览 PDF 文件。PDF 文件可能包含恶意代码，例如恶意脚本或恶意插件，因此禁用 PDF viewer 预览功能可以减少安全风险。

• 禁用 MathML： MathML 是 Web 标准，它允许开发者使用 XML 语法表示数学公式。MathML 可能包含恶意代码，例如恶意脚本或恶意插件，因此禁用 MathML 可以减少安全风险。

• 禁用 Web speech api： Web speech api 允许开发者使用语音识别和语音合成功能。Web speech api 可能被恶意开发者滥用，例如窃取用户的语音信息或控制用户的设备，因此禁用 Web speech api 可以减少安全风险。

• 禁用 RTCDataChannel： RTCDataChannel 是 WebRTC 协议的一部分，它允许 Web 应用进行点对点数据传输。RTCDataChannel 可能被恶意开发者滥用，例如窃取用户的通信数据或控制用户的设备，因此禁用 RTCDataChannel 可以减少安全风险。

• 禁用 MediaDevices.getUserMedia： MediaDevices.getUserMedia 允许开发者获取用户的摄像头和麦克风权限。MediaDevices.getUserMedia 可能被恶意开发者滥用，例如窃取用户的视频或音频信息，因此禁用 MediaDevices.getUserMedia 可以减少安全风险。

• 禁用 service worker： service worker 允许开发者创建可以在后台运行的服务，例如缓存资源、推送通知等。service worker 可能被恶意开发者滥用，例如窃取用户的缓存数据或控制用户的设备，因此禁用 service worker 可以减少安全风险。

• 禁用非代理 udp 流量： 非代理 udp 流量可能被恶意开发者滥用，例如进行 DDoS 攻击或窃取用户的网络数据，因此禁用非代理 udp 流量可以减少安全风险。

• 禁用即时编译(JIT)能力： 即时编译(JIT)能力允许浏览器将 JavaScript 代码编译为机器码，以提高代码执行效率。即时编译(JIT)能力可能被恶意开发者滥用，例如注入恶意代码或窃取用户的计算资源，因此禁用即时编译(JIT)能力可以减少安全风险。

  如何开启高级安全模式

  您可以通过以下步骤开启 ArkWeb 的高级安全模式：

• 在应用的 module.json5 文件中添加以下权限：

  "requestPermissions": [ { "name": "ohos.permission.SECURITY_SERVICE" } ]

• 在应用的入口文件（例如 EntryAbility.ets）中调用以下 API 开启高级安全模式：

  import { webview } from '@ohos.web.webview'; // ... webview.WebviewController.enableAdvancedSecurityMode({ enable: true, // 开启高级安全模式 disableWebAssembly: true, // 禁用 WebAssembly disableWebGL: true, // 禁用 WebGL disablePDFViewer: true, // 禁用 PDF viewer disableMathML: true, // 禁用 MathML disableWebSpeechAPI: true, // 禁用 Web speech api disableRTCDataChannel: true, // 禁用 RTCDataChannel disableMediaDevicesGetUserMedia: true, // 禁用 MediaDevices.getUserMedia disableServiceWorker: true, // 禁用 service worker disableNonProxyUDP: true, // 禁用非代理 udp 流量 disableJITCompilation: true // 禁用即时编译(JIT)能力 });其他安全措施

  除了高级安全模式之外，您还可以采取以下措施提升应用的安全性：

• 内容安全策略(CSP)： CSP 是一种安全机制，它允许开发者指定哪些资源可以被 Web 应用加载，以及哪些资源不可以被加载。CSP 可以有效地防止跨站脚本攻击(XSS)等安全漏洞。

• X-Frame-Options 头： X-Frame-Options 头可以防止点击劫持攻击。该头可以指定哪些 frame 可以显示 Web 应用的内容，以及哪些 frame 不可以显示。

• X-Content-Type-Options 头： X-Content-Type-Options 头可以防止 MIME 类型混淆攻击。该头可以指定 Web 应用的内容类型，以及浏览器如何解释内容类型。

  示例代码

  以下示例代码展示了如何使用 ArkWeb API 开启高级安全模式，并禁用特定高风险特性。同时，展示了如何配置 CSP 策略，以及如何设置 X-Frame-Options 和 X-Content-Type-Options 头：

  import { webview } from '@ohos.web.webview'; import { abilityAccessCtrl } from '@ohos.ability'; // ... // 开启高级安全模式，并禁用特定高风险特性 webview.WebviewController.enableAdvancedSecurityMode({ enable: true, // 开启高级安全模式 disableWebAssembly: true, // 禁用 WebAssembly disableWebGL: true, // 禁用 WebGL // ... 其他高风险特性的禁用 }); // 配置 CSP 策略 webview.WebviewController.setCSP({ "default-src": "'self'", // 允许加载同源资源 "script-src": "'self' https://trusteddomain.com", // 允许加载同源资源和来自特定域的脚本 "style-src": "'self' https://trusteddomain.com", // 允许加载同源资源和来自特定域的样式 // ... 其他 CSP 规则的配置 }); // 设置 X-Frame-Options 头 webview.WebviewController.setHttpHeader({ "key": "X-Frame-Options", "value": "DENY" // 禁止在 frame 中显示 }); // 设置 X-Content-Type-Options 头 webview.WebviewController.setHttpHeader({ "key": "X-Content-Type-Options", "value": "nosniff" // 禁止浏览器尝试猜测内容类型 });

总结

ArkWeb 框架的高级安全模式为开发者提供了强大的安全控制能力，可以帮助开发者提升应用的安全性，防止针对 Web 应用的攻击。通过了解高级安全模式的各项特性，并采取其他安全措施，例如 CSP 策略、X-Frame-Options 头和 X-Content-Type-Options 头，您可以开发出更加安全可靠的 Web 应用，保护用户的隐私和数据安全。

​

 另外，作为开发者，我们需要保持好奇心和学习热情，不断探索新的技术，只有这样，我们才能在这个快速发展的时代中立于不败之地。低代码也是一个值得我们深入探索的领域，让我们拭目以待，它将给前端世界带来怎样的变革。

介绍一款程序员都应该知道的软件JNPF快速开发平台，很多人都尝试用过它，它是功能的集大成者，任何信息化系统都可以基于它开发出来。

JNPF 可以实现应用从创建、配置、开发、测试到发布、运维、升级等完整生命周期的管理。减少了传统应用程序的代码编写量，通过图形化、可视化的界面，以拖放组件的方式，即可快速生成应用程序的产品，大幅降低了开发企业管理类软件的难度。

 本文为本文为转载内容，转载SameX

​