WebViewを使用したAndroidアプリに関して、WebViewのfile:// スキーム読み込みを使用したクロスアプリスクリプティング脆弱性への対応に関するgoogleの説明記事が出ていました。 https://support.google.com/faqs/answer/9084685?hl=ja こちらの脆弱性について調べると2021年にEvernoteのAndroidアプリでこの脆弱性に対して攻撃を受けてcookieが流出したようです。 https://blog.oversecured.com/Evernote-Universal-XSS-theft-of-all-cookies-from-all-sites-and-more/ 今回はWebViewのfile:// スキーム読み込みを使用したクロスアプリスクリプティング脆弱性を理解するために、検証のため脆弱性のあるアプリソース