TikTok injecte lui aussi du JavaScript dans son navigateur maison

Sur mobile, quand on ouvre un lien directement dans le navigateur, pas de soucis. Mais quand on ouvre un lien dans une app qui n’est pas le navigateur, ça ouvre un meta-navigateur (à base de Webview sur Android) qui est intégré dans l’app.

Or là, l’app en question peut modifier la page visitée, et c’est exactement ce qui se passe avec les meta-navigateurs de Facebook, Instagram et maintenant Tiktok : du JS est injecté dans la page, et ça permet toutes les folies que l’on veut : récupération de mots de passes qu’on y tape, récupérations des coordonnées bancaires…).

Bref, ne tapez rien de sensible dans ces fenêtres.

Normalement, avec la CSP (https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ), on peut bloquer ce genre de hack avec un navigateur qui prend ça en charge.
On peut ainsi dire (dans le .htaccess) que le seul JS autorité dans une page est celui du même domaine, ou alors bloquer le JS inline, ou les liens "data://", bref c’est assez puissant.

Mais là encore, rien ne dit que c’est pris en compte par le meta-navigateur de ces app (en fait, la méfiance porterait à croire que c’est désactivé, justement).

#21232  

https://www.nextinpact.com/lebrief/69828/tiktok-injecte-lui-aussi-javascript-dans-son-navigateur-maison