当更新版本提交到Google Play Store时,我们被要求对我们的react原生应用程序进行更改。强调的问题是";意向重定向";弱点这是遗留代码,但尽管如此,迟做总比不做好。
谷歌帮助指南中建议的方法之一是:
选项2:确保提取的Intent来自可靠的来源。
您可以使用>getCallingActivity。例如:
// check if the originating Activity is from trusted package
if (getCallingActivity().getPackageName().equals(“known”)) {
Intent intent = getIntent();
// extract the nested Intent
Intent forward = (Intent) intent.getParcelableExtra(“key”);
// redirect the nested Intent
startActivity(forward);
}
根据本指南更改代码时,生成显示错误,即getCallingActivity
不是已知符号。该代码已使用getCurrentActivity
和getApplicationContext
。
在我们的React Native应用程序中,纠正本地Java代码中的此漏洞的最佳方法是什么?
非常感谢您在这里的快速支持。谢谢
https://github.com/razorpay/react-native-razorpay/issues/291
我们不得不升级我们的react本地共享依赖关系。在发布的版本中,它提到了一些安全补丁。一旦我们升级到4.x,我们就不再收到来自谷歌的关于安全漏洞的电子邮件。
您能尝试阅读此文档吗?https://static.googleusercontent.com/media/www.google.com/en//about/appsecurity/play-rewards/Android_app_vulnerability_classes.pdf