rexxar-android

rexxar-android copied to clipboard

https://github.com/douban/rexxar-android/blob/0717af0e1eb66e4a5fbf124efa969d09052cd622/core/build.gradle#L29 CVE-2018-20200 Recommended upgrade version：3.12.1

QiAnXinCodeSafe

AlertDialogWidget.java中利用了javascript伪协议  攻击者可以通过控制data来执行任意javascript代码

QiAnXinCodeSafe

在[这一行](https://github.com/douban/rexxar-android/blob/master/core/src/main/java/com/douban/rexxar/view/RexxarWebViewClient.java#L200)代码中 data变量也就是html的文件内容的尾部可能存在着换行符\n，导致endsWith校验出错 希望可以先trim再判断endsWith

raffy2010

RouteManager中的单例模式写的应该是不对的

1

``` private static RouteManager sInstance;//这种写法静态变量应该用volatile修饰，不然指令重排序可能导致其他线程获取到错误的单例，可以看一下这里说明：https://my.oschina.net/u/2250599/blog/412827 public static RouteManager getInstance(boolean asyncLoadRoute) { if (null == sInstance) { synchronized (RouteManager.class) { if (null == sInstance) { sInstance = new RouteManager(asyncLoadRoute); } }...

aolphn

这个开关能搞成false的吗？关于这个标志位true的安全问题：http://www.freebuf.com/articles/terminal/60778.html

aolphn

@qluan 请问你是如何处理的呢？

xiaolongyuan

还维护么 rexxar环境 和 内嵌h5环境 cookie丢失

2

从 rexxar环境 转到 h5环境 再按返回 cookie 丢失

xiaolongyuan

页面跳转及传递参数问题

2

### 1 请问 如何从页面 A 页面 B? - A页面 /book/index.html - B页面 /book/detail.html?id=101111 ### 2 id=101111 参数如何传递？ 实际环境中 url会被转换为 file:///http://cdn.xxxx.com/rexxar/book/re_details-edfdc283f2.html?uri=ifitting://xxxx.com/cashbox/re_details?id=77992017022800000005

xiaolongyuan