什么是 iOS UIWebView 跨站点脚本

UIWebView加载外部地址的时候遵循了“同源”策略，而加载本地网页的时候却绕够了“同源”策略，导致可以访问系统任意路径。这就是UIWebView中存在的UXSS漏洞，攻击成功后，攻击者可能得到包括但不限于更高的权限。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

修复方案如下：

• 禁用从外部打开HTML文件；(切断攻击入口)

• 针对本地HTML文件中脚本做一些权限限制；（初步防范措施）

• 新增一个NSURLProtocol, 专门用来处理本地网页的加载，根据同源策略来安全地加载本地文件。（彻底的解决方案）