起点课堂会员权益
职业体系课特权
线下行业大会特权
个人IP打造特权
30+门专项技能课
1300+专题课程
12场职场软技能直播
12场求职辅导直播
12场专业技能直播
会员专属社群
荣耀标识
一、背景介绍
鸿蒙应用通过ArkWeb组件加载前端页面时,前端可通过Web标准API(如navigator系列接口、DeviceMotionEvent事件)获取设备敏感信息。此类敏感信息涵盖地理位置、音视频采集数据、设备运动状态、剪贴板内容等,若应用未实施严格的安全管控、未获得用户明确授权即返回敏感信息,将导致用户隐私泄露、数据安全违规等风险。
典型敏感信息获取场景如下:
- 地理位置信息:通过navigator.geolocation接口获取设备经纬度数据;
- 音视频采集:通过navigator.mediaDevices.getUserMedia接口访问设备摄像头、麦克风;
- 设备运动数据:通过DeviceMotionEvent事件获取设备加速度、旋转速率等传感器数据;
- 剪贴板操作:通过navigator.clipboard.readText()/writeText()方法读写系统剪贴板内容。
本文针对上述场景,明确敏感信息安全获取规范,提供错误案例与正确实现方案,防范信息泄露风险。
二、安全获取地理位置信息
ArkWeb组件通过onGeolocationShow回调接口响应前端的地理位置请求,该接口为敏感操作,需严格遵循“用户授权后再返回数据”的原则。
2.1 接口说明与权限要求
onGeolocationShow接口定义(参考鸿蒙官方文档:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者)
onGeolocationShow(callback: Callback<OnGeolocationShowEvent>)
通知用户收到地理位置信息获取请求,需配置”ohos.permission.LOCATION”、”ohos.permission.APPROXIMATELY_LOCATION”权限。使用callback异步回调。
系统能力: SystemCapability.Web.Webview.Core
参数:
| 参数名 | 类型 | 必填 | 说明 |
|---|---|---|---|
| callback | Callback<OnGeolocationShowEvent> | 是 | 回调函数,请求显示地理位置权限时触发,返回地理位置信息请求对象。 |
OnGeolocationShowEvent
定义通知用户收到地理位置信息获取请求。
系统能力: SystemCapability.Web.Webview.Core
| 名称 | 类型 | 只读 | 可选 | 说明 |
|---|---|---|---|---|
| origin | string | 否 | 否 | 指定源的字符串索引。 |
| geolocation | JsGeolocation | 否 | 否 | 通知Web组件用户操作行为。 |
2.2 invoke方法参数说明
geolocation.invoke()方法用于设置网页地理位置权限状态,定义如下:
invoke(origin: string, allow: boolean, retain: boolean): void
设置网页地理位置权限状态。
系统能力: SystemCapability.Web.Webview.Core
参数:
展开
| 参数名 | 类型 | 必填 | 说明 |
|---|---|---|---|
| origin | string | 是 | 指定源的字符串索引。 |
| allow | boolean | 是 | 设置的地理位置权限状态。
true表示开启地理位置权限,false表示不开启地理位置权限。 |
| retain | boolean | 是 | 是否允许将地理位置权限状态保存到系统中。可通过GeolocationPermissions接口管理保存到系统的地理位置权限。
true表示允许将地理位置权限状态保存到系统中,false表示不允许将地理位置权限状态保存到系统中。 |
2.3 错误与正确实现示例
错误示例(存在泄露风险)未经用户授权,直接允许前端获取地理位置信息,违反隐私保护原则:
.onGeolocationShow((event) => {
if (event) {
// 未征求用户同意,直接返回位置信息,存在敏感信息泄露风险
event.geolocation.invoke(event.origin, true, false);
}
})正确示例(安全合规)
通过弹窗征求用户明确同意,仅在用户确认后返回地理位置信息,且权限管控仅对当前Web组件生效,不影响应用内其他Web组件:
.onGeolocationShow((event) => {
this.uiContext.showAlertDialog({
title: '地理位置权限请求',
message: `是否允许${event.origin}获取您的位置信息?`,
primaryButton: {
value: '拒绝',
action: () => {
if (event) {
// 用户拒绝,不返回位置信息
event.geolocation.invoke(event.origin, false, false);
}
}
},
secondaryButton: {
value: '允许',
action: () => {
if (event) {
// 用户同意,返回位置信息(不保存权限状态,仅当前请求生效)
event.geolocation.invoke(event.origin, true, false);
}
}
},
cancel: () => {
if (event) {
// 用户取消,视为拒绝
event.geolocation.invoke(event.origin, false, false);
}
}
})
})三、安全实现音视频采集(摄像头/麦克风)
前端页面通过navigator.mediaDevices.getUserMedia接口请求访问摄像头、麦克风时或者通过DeviceMotionEvent获取设备的加速度、旋转速率等数据时,ArkWeb组件通过onPermissionRequest回调接口响应,应用需在此回调中完成权限校验与用户授权,严禁未经授权直接授予权限。
3.1 接口说明与权限要求
onPermissionRequest接口定义(参考鸿蒙官方文档:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者)
onPermissionRequest
onPermissionRequest(callback: Callback<OnPermissionRequestEvent>)
通知收到获取权限请求,需配置”ohos.permission.CAMERA”、”ohos.permission.MICROPHONE”权限。
系统能力: SystemCapability.Web.Webview.Core
参数:
| 参数名 | 类型 | 必填 | 说明 |
|---|---|---|---|
| callback | Callback<OnPermissionRequestEvent> | 是 | 通知收到获取权限请求触发。 |
响应的权限类型如下
ProtectedResourceType
系统能力: SystemCapability.Web.Webview.Core
| 名称 | 值 | 说明 | 可申请的权限 |
|---|---|---|---|
| MidiSysex | TYPE_MIDI_SYSEX | MIDI SYSEX资源。
目前仅支持权限事件上报,MIDI设备的使用还未支持。 |
暂不支持申请使用MIDI(Musical Instrument Digital Interface)设备相关权限。 |
| VIDEO_CAPTURE | TYPE_VIDEO_CAPTURE | 视频捕获资源,例如相机。 | 相机权限:ohos.permission.CAMERA。 |
| AUDIO_CAPTURE | TYPE_AUDIO_CAPTURE | 音频捕获资源,例如麦克风。 | 麦克风权限:ohos.permission.MICROPHONE。 |
| SENSOR | TYPE_SENSOR | 传感器资源,例如加速度传感器。 | 加速度传感器权限:ohos.permission.ACCELEROMETER、
陀螺仪传感器权限:ohos.permission.GYROSCOPE。 |
3.2 错误与正确实现示例
错误示例(存在泄露风险)未经用户授权,直接授予前端摄像头、麦克风权限,存在音视频数据泄露风险:
.onPermissionRequest((event) => {
// 错误做法:直接授予页面所有请求的权限,未进行用户授权校验
event.request.grant(event.request.getAccessibleResource());
})正确示例(安全合规)
通过弹窗明确告知用户请求的权限类型与请求源,仅在用户确认后授予权限,用户拒绝或取消时明确拒绝权限请求:
.onPermissionRequest((event) => {
if (event) {
const origin = event.request.getOrigin(); // 获取请求源URL
const resource = event.request.getAccessibleResource(); // 获取请求的权限类型
this.uiContext.showAlertDialog({
title: `权限请求(${origin})`,
message: `是否允许该页面访问您的${resource === 'TYPE_VIDEO_CAPTURE' ? '摄像头' : '麦克风'}?`,
primaryButton: {
value: '拒绝',
action: () => {
// 用户拒绝,明确拒绝权限请求
event.request.deny();
}
},
secondaryButton: {
value: '允许',
action: () => {
// 用户同意,授予请求的权限
event.request.grant(resource);
}
},
autoCancel: false, // 禁止点击弹窗外部取消
cancel: () => {
// 用户取消,视为拒绝
event.request.deny();
}
})
}
})四、剪贴板读写安全管控
前端页面可通过navigator.clipboard API实现剪贴板读写操作,其中:
- 写剪贴板:通常无需额外权限,前端可直接调用writeText()方法写入内容;
- 读剪贴板:需应用拥有剪贴板读取权限,且当前ArkWeb组件未提供专门的回调接口响应前端读剪贴板请求,默认允许前端读取剪贴板内容。
风险点:若应用已获取剪贴板读取权限,加载不可信前端页面时,前端可直接读取剪贴板内的敏感信息(如密码、验证码、个人信息等),导致信息泄露。
4.1 安全管控建议
针对剪贴板读取风险,建议采取以下管控措施:
- URL白名单管控:对ArkWeb组件加载的前端URL进行白名单筛选,仅允许加载可信域名的页面,禁止加载未知、不可信URL;
- 权限最小化:若应用无需剪贴板读取功能,不申请剪贴板相关权限,从源头防范泄露风险;
- 敏感信息防护:避免应用主动向剪贴板写入敏感信息(如密码、token等),若必须写入,需在使用后及时清空剪贴板。
使用Web组件与系统剪贴板交互:使用Web组件与系统剪贴板交互处理网页内容-处理网页内容-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
五、安全建议
结合上述场景,为防范ArkWeb组件敏感信息泄露,提出以下通用安全管控建议,确保符合鸿蒙应用安全规范与隐私保护要求:
- 严格执行用户授权:对于地理位置、摄像头、麦克风、传感器等敏感信息请求,必须通过弹窗等交互方式获取用户明确同意,严禁静默授权、强制授权;
- 权限最小化配置:仅申请应用业务必需的权限,无需使用的敏感权限(如剪贴板读取、传感器)不配置,减少权限泄露风险;
- URL可信管控:对ArkWeb组件加载的前端URL实施白名单管理,明确可信域名范围,禁止加载不可信、未验证的URL;详情可参考:鸿蒙应用安全编码专题系列之Web组件URL加载安全 | 华为开发者联盟。
- 接口规范调用:严格按照鸿蒙官方文档要求调用onGeolocationShow、onPermissionRequest等回调接口,不随意简化授权流程、不跳过权限校验;
- 敏感操作日志记录:对用户授权、敏感信息获取等操作进行日志记录,便于后续安全审计与问题排查;
六、参考文档
- 在Web组件中获取位置信息:管理位置权限-设置基本属性和事件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
- 在Web组件中打开摄像头和麦克风:在Web中打开摄像头和麦克风-使用网页多媒体-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
- 在Web组件中使用运动和方向传感器监测设备状态:使用运动和方向传感器监测设备状态-设置基本属性和事件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
- 使用Web组件与系统剪贴板交互:使用Web组件与系统剪贴板交互处理网页内容-处理网页内容-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者
其他鸿蒙应用安全编码专题文章请参考:
https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221
