所有跳转的页面都是web端写的。交互上,本地只提供支付和拍照等少数功能,我个人觉得应该不用考虑了。
如果有用户生成的内容,要注意html/js的代码注入的问题。
这个看你需求了,4.2以下的系统现在用的人也很少了,但是如果实在是需要的,你可以在代码封装的时候,写一些算法,就会安全点。