初衷

最初我们寻求bridge方案是基于H5和Native之间的桥接，首先想到的是jsBridge。两种方式：

1. javaInterface 注入对象;

2. alert/prompt/confirm 如我们所知，第1种方法在android 4.2以下存在XSS漏洞，具体是因为，往js的Window注入的是原始java对象，这就导致可以通过获取Class对象反射出任何对象进行调用,相当危险。

java代码：

webView.addJavascriptInterface(new People(), "JsInterface");window.JsInterface.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);复制代码

然而4.2以上进行了处理，如果你尝试去调试，你会发现window.JsInterface不再是具体java实例，而是普通的js对象，然后通过对这个js对象的调用来和注入对象通信，中间加入了方法的过滤(@JavascriptInterface注解的方法)等等。

第2种方法相对来说保险一点兼容性也更强一点,我们可以和H5端共同确定 scheme:// 、 host、 以及path 来达到标志调用的唯一性。 此种做法另外也可分为两种：

1. scheme:// 、 host、 以及path相关代码在开发阶段编写在Html，通过promrt触发android端的onJsPrompt()来解析。

2. 把js代码通过webview.loadUrl(js)的方式注入到H5，如：

javascript:(function JsAddJavascriptInterface_(){    if (typeof(window.jsInterface)!='undefined') {            console.log('window.jsInterface_js_interface_name is exist!!');}     else {        window.jsInterface = {                    onButtonClick:function(arg0) {                 return prompt('MyApp:'+JSON.stringify({obj:'jsInterface',func:'onButtonClick',args:[arg0]}));            },                        onImageClick:function(arg0,arg1,arg2) {                 prompt('MyApp:'+JSON.stringify({obj:'jsInterface',func:'onImageClick',args:[arg0,arg1,arg2]}));            },        };    }}复制代码

往window注入了jsInterface对象，此jsInterface对象包含onButtonClick()函数和onImageClick函数。从而始window对象有了jsInterface对象，达到和 第一种几乎相似的效果，并且没有安全隐患，因为他仅仅是一个js对象不是java对象。