Android Webview上的ssl warning的处理方式详解及实例
程序员文章站
2023-12-18 09:01:16
android webview上的ssl warning的处理方式详解
前言:
因为最近遇到google pay上汇报的安全漏洞问题,需要处理ssl warning....
android webview上的ssl warning的处理方式详解
前言:
因为最近遇到google pay上汇报的安全漏洞问题,需要处理ssl warning.
安全提醒
您的应用中 webviewclient.onreceivedsslerror 处理程序的实施方式很不安全。具体来说,这种实施方式会忽略所有 ssl 证书验证错误,从而使您的应用容易受到中间人攻击。攻击者可能会更改受影响的 webview 内容、读取传输的数据(例如登录凭据),以及执行应用中使用 javascript 的代码。
为了正确处理 ssl 证书验证,请将您的代码更改为在服务器提供的证书符合您的预期时调用 sslerrorhandler.proceed(),否则应调用sslerrorhandler.cancel()。系统已向您的开发者帐号地址发送了一封电子邮件提醒,其中列出了受影响的应用和类。
所以查阅了相关webview上的访问ssl协议的网址的警告处理方式。
其实大概意思就是说客户端在处理https链接返回的ssl错误的时候不要无脑的直接通过,需要友好的在客户端主动弹出对话框让用户做出选择。
然后添加代码如下:
public void onreceivedsslerror(webview view,final sslerrorhandler handler,
sslerror error) {
final alertdialog.builder builder = new alertdialog.builder(webviewactivity.this);
string message = "ssl certificate error.";
switch (error.getprimaryerror()) {
case sslerror.ssl_untrusted:
message = "the certificate authority is not trusted.";
break;
case sslerror.ssl_expired:
message = "the certificate has expired.";
break;
case sslerror.ssl_idmismatch:
message = "the certificate hostname mismatch.";
break;
case sslerror.ssl_notyetvalid:
message = "the certificate is not yet valid.";
break;
case sslerror.ssl_date_invalid:
message = "the date of the certificate is invalid";
break;
case sslerror.ssl_invalid:
default:
message = "a generic error occurred";
break;
}
message += " do you want to continue anyway?";
builder.settitle("ssl certificate error");
builder.setmessage(message);
builder.setpositivebutton("continue", new dialoginterface.onclicklistener() {
@override
public void onclick(dialoginterface dialog, int which) {
handler.proceed();
}
});
builder.setnegativebutton("cancel", new dialoginterface.onclicklistener() {
@override
public void onclick(dialoginterface dialog, int which) {
handler.cancel();
}
});
final alertdialog dialog = builder.create();
dialog.show();
}
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!