Android WebView https白屏、Http和Https混合问题、证书配置和使用
目錄
- 前言
- 啟用https后白屏(證書錯誤)
- 修改處理
- WebView中Http和Https混合問題
- 處理辦法
- Webview的幾種內容加載模式
- 證書配置或處理
- https請求的證書
- okhttp進行請求:
- HttpsURLConnection
- 忽略證書
前言
原有項目中有部分界面是用webview展現的h5頁面,一直以來都使用的http地址,但有些情況下,用戶dns被劫持,頁面上出現了一些廣告的內容,或者頁面就是白屏,總結起來還是因為使用http,頁面內容被劫持修改,修改后的內容要么多出廣告,要么被修改得加載不出來,因此項目中自然就需要加載https的地址。同時修改為https之后,出現問題的那些用戶也能正常的顯示出h5頁面內容。
啟用https后白屏(證書錯誤)
然而,在新版本上線后,有客戶反饋oppo(8.1)、vivo等用戶反饋app中頁面白屏,單位的oppo和vivo驗證都沒有問題。最后小伙伴用模擬器復現了,同時也看到錯誤日志:
此處的日志是在WebChromeClient的重實現打出來的(代碼已經修改過):
修改處理
得知是在WebChromeClient的onReceivedSslError重實現中響應了相關的錯誤,在onReceivedSslError中調用sslErrorHandler.process(); 就可以了:忽略證書問題。
public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) {GenseeLog.e(TAG,"onReceivedSslError sslErrorHandler = [" + sslErrorHandler + "], sslError = [" + sslError.getPrimaryError() + "]");_onReceivedError();sslErrorHandler.proceed(); // super.onReceivedSslError(webView, sslErrorHandler, sslError);}此處注意:不要調用super.onReceivedSslError(webView, sslErrorHandler, sslError),super的實現是sslErrorHandler.cancel();,終止訪問。
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {handler.cancel();}注意:文本是通過忽略證書的問題處理的,但從實質性的安全來說并沒起到作用。確認我們的證書是無誤的。唯獨幾個oppo(系統8.1)和vivo用戶有問題,目前沒有得到真機的驗證,推測還是系統證書下載問題。有知道的老鐵請留言,感謝之。
正確建議做法是做證書校驗:
WebView中Http和Https混合問題
在一個頁面通過http請求的,但頁面內有https的資源,后者頁面是通過https訪問的,但頁面內有http的資源,這樣的混合,一般后者都存在問題,當前前者也可能存在問題。
處理辦法
在webview加載頁面之前,設置加載模式為MIXED_CONTENT_ALWAYS_ALLOW
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {webView.getSettings().setMixedContentMode(WebSettings.MIXED_CONTENT_ALWAYS_ALLOW);}在Android5.0之前,系統默認是采用的MIXED_CONTENT_ALWAYS_ALLOW模式,即總是允許WebView同時加載Https和Http;而從Android5.0開始,默認用MIXED_CONTENT_NEVER_ALLOW模式,即總是不允許WebView同時加載Https和Http。
如果都是自家的網頁,那這個問題還是從源頭上進行處理,頁面不要使用混合的方式。
官網給出的建議是,為了安全考慮,使用 MIXED_CONTENT_NEVER_ALLOW模式,但是在實際引用中,當我們的服務器已經升級到Https,但是一些頁面的資源是第三方的,我們不一定能要求第三方也都升級到Https,所以我們只能根據系統版本,用代碼去設置加載模式為MIXED_CONTENT_ALWAYS_ALLOW。
Webview的幾種內容加載模式
從Android5.0開始,當一個安全的站點(https)去加載一個非安全的站點(http)時,需要配置Webview加載內容的混合模式,一共有如下三種模式:
- MIXED_CONTENT_NEVER_ALLOW:Webview不允許一個安全的站點(https)去加載非安全的站點內容(http),比如,https網頁內容的圖片是http鏈接。強烈建議App使用這種模式,因為這樣更安全。
- MIXED_CONTENT_ALWAYS_ALLOW:在這種模式下,WebView是可以在一個安全的站點(Https)里加載非安全的站點內容(Http),這是WebView最不安全的操作模式,盡可能地不要使用這種模式。
- MIXED_CONTENT_COMPATIBILITY_MODE:在這種模式下,當涉及到混合式內容時,WebView會嘗試去兼容最新Web瀏覽器的風格。一些不安全的內容(Http)能被加載到一個安全的站點上(Https),而其他類型的內容將會被阻塞。這些內容的類型是被允許加載還是被阻塞可能會隨著版本的不同而改變,并沒有明確的定義。這種模式主要用于在App里面不能控制內容的渲染,但是又希望在一個安全的環境下運行。
證書配置或處理
如果需要配置證書的情況下,
在res目錄下創建一個xml文件目錄,再創建一個network_security_config.xml(名字可隨意),然后就是在這個文件中寫入一些關于https的配置,接著把network_security_config配置到Anroidmanifest的Application節點屬性中,如下:
我們的xxx.crt的證書文件按照規范,需要放到res/raw/目錄下面。接著配置到network_security_config文件中。配置證書,有兩種方式,如下:
表示應用的訪問的所有域名的資源都信任我們指定的xxx證書
使用domain-config限制了gensee.com或它的子域名都信任我們指定的xxx證書
配置我們要信任什么證書,直接使用@raw/xxx為配置信任自定義的證書,如果要指定信任預安裝的證書,需要另外指定,預安裝的證書有系統和用戶兩種類型,如下:
https請求的證書
okhttp進行請求:
val builder = OkHttpClient.Builder() if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定義證書.addPlatformTrustedCertificates() // 信任系統的預裝證書,如果不信任系統證書的話,比如在訪問https://m.baidu.com時將會出錯.build()builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager) } val okHttpClient = builder.build()HttpsURLConnection
// Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use {cf.generateCertificate(it) as X509Certificate}System.out.println("ca=" + ca.subjectDN)// Create a KeyStore containing our trusted CAsval keyStoreType = KeyStore.getDefaultType()val keyStore = KeyStore.getInstance(keyStoreType).apply {load(null, null)setCertificateEntry("ca", ca)}// Create a TrustManager that trusts the CAs inputStream our KeyStoreval tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {init(keyStore)}// Create an SSLContext that uses our TrustManagerval context: SSLContext = SSLContext.getInstance("TLS").apply {init(null, tmf.trustManagers, null)}// Tell the URLConnection to use a SocketFactory from our SSLContextval url = URL("https://certs.cac.washington.edu/CAtest/")val urlConnection = url.openConnection() as HttpsURLConnectionurlConnection.sslSocketFactory = context.socketFactoryval inputStream: InputStream = urlConnection.inputStreamcopyInputStreamToOutputStream(inputStream, System.out)忽略證書
/** 獲取一個SSLSocketFactory */ val sSLSocketFactory: SSLSocketFactoryget() = try {val sslContext = SSLContext.getInstance("SSL")sslContext.init(null, arrayOf(trustManager), SecureRandom())sslContext.socketFactory} catch (e: Exception) {throw RuntimeException(e)}/** 獲取一個忽略證書的X509TrustManager */ val trustManager: X509TrustManagerget() = object : X509TrustManager {override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String) { } override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String) { } override fun getAcceptedIssuers(): Array<X509Certificate> { return arrayOf() }}將這兩個對象設置給okhttp或HttpsURLConnection即可完成證書忽略。
https://blog.csdn.net/android_cai_niao/article/details/108065766
https://blog.csdn.net/luofen521/article/details/51783914
總結
以上是生活随笔為你收集整理的Android WebView https白屏、Http和Https混合问题、证书配置和使用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Gensee SDK RoleType详
- 下一篇: python编程制作_一种Python编