On nous a demandé d'apporter des modifications à notre application native React lorsqu'une version mise à jour était soumise à Google Play Store. Le problème mis en évidence était la vulnérabilité "Redirection d'intention". C'était du code hérité, mais néanmoins, mieux vaut tard que jamais.
L'une des méthodes suggérées dans le guide d' aide Google était la suivante:
Option 2: assurez-vous que l'intention extraite provient d'une source fiable.
Vous pouvez vérifier que l'activité d'origine peut être approuvée à l'aide de méthodes telles que> getCallingActivity. Par exemple:
// check if the originating Activity is from trusted package if (getCallingActivity().getPackageName().equals(âknownâ)) { Intent intent = getIntent(); // extract the nested Intent Intent forward = (Intent) intent.getParcelableExtra(âkeyâ); // redirect the nested Intent startActivity(forward); }
Lors de la modification du code selon ces instructions, la construction a montré une erreur getCallingActivity
que getCallingActivity
n'était pas un symbole connu. Le code utilise déjà getCurrentActivity
et getApplicationContext
.
Quelle serait la meilleure façon pour nous de rectifier dans notre application React Native, cette vulnérabilité dans notre code Java natif?
J'apprécierai profondément votre soutien rapide ici. Merci!
3 Réponses :
RazorPay a publié une nouvelle version. Veuillez suivre le lien ci-dessous pour plus d'informations.
https://github.com/razorpay/react-native-razorpay/issues/291
Va vérifier et revenir. Merci pour la mise à jour.
Pouvez-vous essayer de lire ce document? https://static.googleusercontent.com/media/www.google.com/en//about/appsecurity/play-rewards/Android_app_vulnerability_classes.pdf
Nous avons dû mettre à niveau notre dépendance react-native-share . Dans les versions, il mentionne quelques correctifs de sécurité il y a quelque temps. Une fois que nous sommes passés à 4.x, nous avons cessé de recevoir des e-mails de Google concernant la vulnérabilité de sécurité.
Même problème pour moi. Avez-vous trouvé la solution deetho?
Je suis confronté au même problème? :( recherche de solution
Avez-vous trouvé une solution @RameshKumar?
Non @SudeepKumar. J'ai rencontré ce problème pour l'utilisation du module natif rezorpay react. En attente de la nouvelle version de leur part.
Pas de chance pour l'instant, @SudeepKumar
@RameshKumar, partagez une mise à jour si vous obtenez un retour de Razorpay.
Quelqu'un l'a-t-il réparé? Je suis aussi coincé avec ce problème :(
J'ai le même problème, je ne sais pas quelle dépendance react-native dans package.json provoque cela. Existe-t-il un moyen de le savoir? Je n'utilise pas RazorPay. Merci!