Android WebView https白屏、Http和Https混合问题、证书配置和使用
目錄
- 前言
- 啟用https后白屏(證書錯誤)
- 修改處理
- WebView中Http和Https混合問題
- 處理辦法
- Webview的幾種內(nèi)容加載模式
- 證書配置或處理
- https請求的證書
- okhttp進行請求:
- HttpsURLConnection
- 忽略證書
前言
原有項目中有部分界面是用webview展現(xiàn)的h5頁面,一直以來都使用的http地址,但有些情況下,用戶dns被劫持,頁面上出現(xiàn)了一些廣告的內(nèi)容,或者頁面就是白屏,總結起來還是因為使用http,頁面內(nèi)容被劫持修改,修改后的內(nèi)容要么多出廣告,要么被修改得加載不出來,因此項目中自然就需要加載https的地址。同時修改為https之后,出現(xiàn)問題的那些用戶也能正常的顯示出h5頁面內(nèi)容。
啟用https后白屏(證書錯誤)
然而,在新版本上線后,有客戶反饋oppo(8.1)、vivo等用戶反饋app中頁面白屏,單位的oppo和vivo驗證都沒有問題。最后小伙伴用模擬器復現(xiàn)了,同時也看到錯誤日志:
此處的日志是在WebChromeClient的重實現(xiàn)打出來的(代碼已經(jīng)修改過):
修改處理
得知是在WebChromeClient的onReceivedSslError重實現(xiàn)中響應了相關的錯誤,在onReceivedSslError中調(diào)用sslErrorHandler.process(); 就可以了:忽略證書問題。
public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) {GenseeLog.e(TAG,"onReceivedSslError sslErrorHandler = [" + sslErrorHandler + "], sslError = [" + sslError.getPrimaryError() + "]");_onReceivedError();sslErrorHandler.proceed(); // super.onReceivedSslError(webView, sslErrorHandler, sslError);}此處注意:不要調(diào)用super.onReceivedSslError(webView, sslErrorHandler, sslError),super的實現(xiàn)是sslErrorHandler.cancel();,終止訪問。
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {handler.cancel();}注意:文本是通過忽略證書的問題處理的,但從實質(zhì)性的安全來說并沒起到作用。確認我們的證書是無誤的。唯獨幾個oppo(系統(tǒng)8.1)和vivo用戶有問題,目前沒有得到真機的驗證,推測還是系統(tǒng)證書下載問題。有知道的老鐵請留言,感謝之。
正確建議做法是做證書校驗:
WebView中Http和Https混合問題
在一個頁面通過http請求的,但頁面內(nèi)有https的資源,后者頁面是通過https訪問的,但頁面內(nèi)有http的資源,這樣的混合,一般后者都存在問題,當前前者也可能存在問題。
處理辦法
在webview加載頁面之前,設置加載模式為MIXED_CONTENT_ALWAYS_ALLOW
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {webView.getSettings().setMixedContentMode(WebSettings.MIXED_CONTENT_ALWAYS_ALLOW);}在Android5.0之前,系統(tǒng)默認是采用的MIXED_CONTENT_ALWAYS_ALLOW模式,即總是允許WebView同時加載Https和Http;而從Android5.0開始,默認用MIXED_CONTENT_NEVER_ALLOW模式,即總是不允許WebView同時加載Https和Http。
如果都是自家的網(wǎng)頁,那這個問題還是從源頭上進行處理,頁面不要使用混合的方式。
官網(wǎng)給出的建議是,為了安全考慮,使用 MIXED_CONTENT_NEVER_ALLOW模式,但是在實際引用中,當我們的服務器已經(jīng)升級到Https,但是一些頁面的資源是第三方的,我們不一定能要求第三方也都升級到Https,所以我們只能根據(jù)系統(tǒng)版本,用代碼去設置加載模式為MIXED_CONTENT_ALWAYS_ALLOW。
Webview的幾種內(nèi)容加載模式
從Android5.0開始,當一個安全的站點(https)去加載一個非安全的站點(http)時,需要配置Webview加載內(nèi)容的混合模式,一共有如下三種模式:
- MIXED_CONTENT_NEVER_ALLOW:Webview不允許一個安全的站點(https)去加載非安全的站點內(nèi)容(http),比如,https網(wǎng)頁內(nèi)容的圖片是http鏈接。強烈建議App使用這種模式,因為這樣更安全。
- MIXED_CONTENT_ALWAYS_ALLOW:在這種模式下,WebView是可以在一個安全的站點(Https)里加載非安全的站點內(nèi)容(Http),這是WebView最不安全的操作模式,盡可能地不要使用這種模式。
- MIXED_CONTENT_COMPATIBILITY_MODE:在這種模式下,當涉及到混合式內(nèi)容時,WebView會嘗試去兼容最新Web瀏覽器的風格。一些不安全的內(nèi)容(Http)能被加載到一個安全的站點上(Https),而其他類型的內(nèi)容將會被阻塞。這些內(nèi)容的類型是被允許加載還是被阻塞可能會隨著版本的不同而改變,并沒有明確的定義。這種模式主要用于在App里面不能控制內(nèi)容的渲染,但是又希望在一個安全的環(huán)境下運行。
證書配置或處理
如果需要配置證書的情況下,
在res目錄下創(chuàng)建一個xml文件目錄,再創(chuàng)建一個network_security_config.xml(名字可隨意),然后就是在這個文件中寫入一些關于https的配置,接著把network_security_config配置到Anroidmanifest的Application節(jié)點屬性中,如下:
我們的xxx.crt的證書文件按照規(guī)范,需要放到res/raw/目錄下面。接著配置到network_security_config文件中。配置證書,有兩種方式,如下:
表示應用的訪問的所有域名的資源都信任我們指定的xxx證書
使用domain-config限制了gensee.com或它的子域名都信任我們指定的xxx證書
配置我們要信任什么證書,直接使用@raw/xxx為配置信任自定義的證書,如果要指定信任預安裝的證書,需要另外指定,預安裝的證書有系統(tǒng)和用戶兩種類型,如下:
https請求的證書
okhttp進行請求:
val builder = OkHttpClient.Builder() if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定義證書.addPlatformTrustedCertificates() // 信任系統(tǒng)的預裝證書,如果不信任系統(tǒng)證書的話,比如在訪問https://m.baidu.com時將會出錯.build()builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager) } val okHttpClient = builder.build()HttpsURLConnection
// Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use {cf.generateCertificate(it) as X509Certificate}System.out.println("ca=" + ca.subjectDN)// Create a KeyStore containing our trusted CAsval keyStoreType = KeyStore.getDefaultType()val keyStore = KeyStore.getInstance(keyStoreType).apply {load(null, null)setCertificateEntry("ca", ca)}// Create a TrustManager that trusts the CAs inputStream our KeyStoreval tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {init(keyStore)}// Create an SSLContext that uses our TrustManagerval context: SSLContext = SSLContext.getInstance("TLS").apply {init(null, tmf.trustManagers, null)}// Tell the URLConnection to use a SocketFactory from our SSLContextval url = URL("https://certs.cac.washington.edu/CAtest/")val urlConnection = url.openConnection() as HttpsURLConnectionurlConnection.sslSocketFactory = context.socketFactoryval inputStream: InputStream = urlConnection.inputStreamcopyInputStreamToOutputStream(inputStream, System.out)忽略證書
/** 獲取一個SSLSocketFactory */ val sSLSocketFactory: SSLSocketFactoryget() = try {val sslContext = SSLContext.getInstance("SSL")sslContext.init(null, arrayOf(trustManager), SecureRandom())sslContext.socketFactory} catch (e: Exception) {throw RuntimeException(e)}/** 獲取一個忽略證書的X509TrustManager */ val trustManager: X509TrustManagerget() = object : X509TrustManager {override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String) { } override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String) { } override fun getAcceptedIssuers(): Array<X509Certificate> { return arrayOf() }}將這兩個對象設置給okhttp或HttpsURLConnection即可完成證書忽略。
https://blog.csdn.net/android_cai_niao/article/details/108065766
https://blog.csdn.net/luofen521/article/details/51783914
總結
以上是生活随笔為你收集整理的Android WebView https白屏、Http和Https混合问题、证书配置和使用的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Gensee SDK RoleType详
- 下一篇: python编程制作_一种Python编