Android Webview场景下防止dns劫持的探索

最新推荐文章于 2024-04-24 16:41:00 发布
最新推荐文章于 2024-04-24 16:41:00 发布
阅读量8.3k 收藏 11
点赞数 1
分类专栏: Android开发随笔 文章标签: android

劫持样式:


摘要: 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景都有最佳实践,拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。

背景

阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNIokhttp等都有最佳实践,但在webview场景下却一直没完美的解决方案。

拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。

基本原理

拦截方案是指通过对webview进行配置WebViewClient来做到对网络请求的拦截:

void setWebViewClient (WebViewClient client);

拦截方案的的调用流程如下图所示:

webview_research

Webview相关的网络请求由系统的chromium网络库发起,Webview调用loadUrl方法时,chromium网络库会构造URLRequest实例,经过c层到java层,最终请求参数会回调给上层WebViewClientshouldInterceptRequest方法,而我们的目标是在shouldInterceptRequest方法中通过HTTPDNS进行URL中域名到ip的替换,并且构造和返回合法的WebResourceResponse,让webview在避免dns劫持的同时,也能正常地进行展示。

局限

首先,当Android API < 21时,WebViewClient提供的拦截API如下:

public WebResourceResponse shouldInterceptRequest(WebView view, String url);

此时shouldInterceptRequest只能拿到URL,而请求方法、头部等这些信息是拿不到的,强行拦截会造成请求信息的丢失,由此可知局限1:

局限1:Android API < 21只能拦截网络请求的URL,请求方法、请求头等无法拦截;

其次,对于Android API >= 21的情况,其拦截API为:

public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request);

第2个参数变成了WebResourceRequest,其结构如下:

public interface WebResourceRequest {
    Uri getUrl();
    boolean isForMainFrame();
    boolean isRedirect();
    boolean hasGesture();
    String getMethod();
    Map<String, String> getRequestHeaders();
}

相比之下WebResourceRequest能给的多了MethodHeader以及是否重定向,但是没有Body,也无法预知该请求是否可能携带body,对于带body的符合协议但非标的Get请求一样无法拦截,因此局限2:

局限2:Android API >= 21无法拦截body,拦截方案只能正常处理不带body的请求;

接下来,我们看下要构造的WebResourceResponse,这个类需要我们提供MIMEencodingInputStream。其中,MIMEencoding可以通过解析响应头的content-type来获得:

content-type:text/html;charset=UTF-8

但是,对于js/css/image等类型的资源请求是没有charset的,强行拦截会因为编码问题造成js/css/image的加载/显示异常,因此局限3:

局限3MIMEencoding可通过解析响应头的content-type来获得,但有时会拿不到;

可行性

看完了上面的各种局限,是不是拦截方案就完全行不可行呢?其实也不尽然,我们来看下面一段代码:

        @SuppressLint("NewApi")
        @Override
        public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) {

            final String scheme = request.getUrl().getScheme().trim();
            final String url = request.getUrl().toString();
            final Map<String, String> headerFields = request.getRequestHeaders();

            // #1 只拦截get方法
            if (request.getMethod().equalsIgnoreCase("get") && (scheme.equalsIgnoreCase("http") || scheme.equalsIgnoreCase("https"))) {
                try {
                    final URL oldUrl = new URL(url);
                    HttpURLConnection conn;

                    // #2 通过httpdns替换ip
                    final String ip = mService.getIpByHostAsync(oldUrl.getHost());
                    if (TextUtils.isEmpty(ip)) {
                        final String host = oldUrl.getHost();
                        final String newUrl = url.replaceFirst(host, ip);

                        // #3 设置HTTP请求头Host域
                        conn = (HttpURLConnection) new URL(newUrl).openConnection();
                        conn.setRequestProperty("Host", host);

                        // #4 设置HTTP请求header
                        for (String header : headerFields.keySet()) {
                            conn.setRequestProperty(header, headerFields.get(header));
                        }

                        // #5 处理https场景
                        if (conn instanceof HttpsURLConnection) {
                            ((HttpsURLConnection) conn).setHostnameVerifier(new HostnameVerifier() {
                                @Override
                                public boolean verify(String hostname, SSLSession session) {
                                    return HttpsURLConnection.getDefaultHostnameVerifier().verify(host, session);
                                }
                            });
                        }

                        // #6 拿到MINE和encoding
                        final String contentType = conn.getContentType();
                        final String mine = getMine(contentType);
                        final String encoding = getEncoding(contentType);

                        // #7 MINE和encoding拿不到的情况下,不拦截
                        if (TextUtils.isEmpty(mine) || TextUtils.isEmpty(encoding)) {
                            return super.shouldInterceptRequest(view, request);
                        }

                        return new WebResourceResponse(mine, encoding, conn.getInputStream());
                    }
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }

            return super.shouldInterceptRequest(view, request);
        }

值得注意的是,如果webview中承载的内容是app为自身业务打造的,可控的,那就完全可以通过开发规范来绕开部分局限,也能在一定程度上通过httpdns来改善webview上的dns被劫持的状况。



咖啡Q伴侣
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android代码-基于DNS实现的Android广告拦截
08-08
DNS-Based Host Blocking for Android This is a DNS-based host blocker for Android. In the default configuration, several widely-respected host files are used to block ads, malware, and other weird stuff. Installing You can either install it via F-Droid, using the official F-Droid repository, or you can use my personal repository at https://jak-linux.org/fdroid/repo which gets updates ASAP. You can also download apk files in GitHub's download section. Currently, these are the same files as in m
AndroidWebView拦截替换网络请求数据
05-23 2972
Android中处理网页时我们必然用到WebView,这里我们有这样一个需求,我们想让WebView在处理网络请求的时候将某些请求拦截替换成某些特殊的资源。具体一点儿说,在WebView加载 http://m.sogou.com 时,会加载一个logo图片,我们的需求就是将这个logo图片换成另一张图片。 shouldInterceptRequest 好在Android中的WebVie
Android-WebView的使用,想跳槽的朋友必看
2401_83621918的博客
03-18 646
疯狂编程学习效果可视化写博客阅读优秀代码心态调整题(含答案+解析)、学习笔记、Xmind思维导图均可以分享给大家学习。
android怎样对webview加载的内容进行拦截修改
lcwoooo的博客
07-05 7689
需求原因,由于App要用webview调用一个html5。但是网页上面老是有一些烦人的小广告,可是html5网页不受我控制,所以我就想能不能把它进行拦截或者修改。 当然有好的方法可以交流交流 大家知道网页上面挂的一般都是广告联盟的广告,一般就是大家看到的一张诱惑图片加跳转。所以拦截前我们要知道我们要过滤网站的那些内容。下面以百度首页为列。 我要把百度的
Android webview拦截请求
分享Android开发知识
09-09 4636
一、需求背景 如果想做webview的本地缓存或者拦截请求做其他的事情就设计到了拦截webview的请求。 二、解决方案 在Android自带的WebView中,如果需要对访问的URL或者资源进行拦截,主要涉及到WebViewClient中的三个方法:onPageStarted、shouldOverrideUrlLoading、shouldInterceptRequest。首先来分析onPageStarted方法和shouldOverrideUrlLoading方法,分别在两个方法以及onPageFinis
android webview post 劫持,android – 在WebView拦截POST请求
weixin_39801202的博客
05-26 372
我正在开发一个Android应用程序过滤请求(使用白名单)和使用自定义SSLSocketFactory。为此,我开发了一个自定义的WebViewClient,我已经覆盖了shouldInterceptRequest方法。我可以过滤和使用我的SocketFactory与GET请求,但我不能拦截POST请求。那么,有没有办法拦截WebView中的POST请求?这里是shouldInterceptReq...
dns 劫持
Fr,manba 的博客
06-12 402
dns 劫持 声明:转发整理 原地址 已贴入链接 访问 营运商 dns 服务器 遭到 ip 篡改 返回与请求 不符合的 网址内容 Android 网络优化,使用 HTTPDNS 优化 DNS,从原理到 OkHttp 集成 聊聊DNS,HTTPDNS OkHttp接入HttpDNS,最佳实践 阿里云 HttpDns 接入指南 # Http 请求dns 劫持 解决方案: HttpDns 服务器接入 「阿里云 收费 腾讯HttpDns 服务器免费(接入方案 七牛云 sdk)」 OkHttp HttpD
android 拦截h5方法,android - webview 拦截资源的几个方法和特点
weixin_34032649的博客
05-27 652
android - webview 拦截资源的几个方法和特点2017-08-12 18:27访问量: 2060分类:技术看下面的代码,就可以看出端倪来了onPageStarted, 触发的url是====http://yunbih5.sweetysoft.com/#/bindAccountToDevice?client=android&language=enshouldInterceptR...
彻底解决 Android webview 防止重定向
JimTrency的博客
08-02 8519
其实,网上关于这个问题的博客很多,但几乎都是坑,基本都是copy。由于,自己也被坑的太狠了。所以打算自己找规律,然后解决。最后,发现真心不难,很简单。就是一个逻辑问题。规律:重定向时,shouldOverrideUrlLoading 两次加载的链接是一样的,不信自己可以试试。废话不说直接上代码:prevUrl:为之前的链接地址,latestUrl: 为最新的链接地址。@Override public
Android 完美解决WebView缺陷
热门推荐
lcj235的博客
05-23 2万+
作为一名Android工程师,我们在使用Webview时候遇到过很多很多的坑,比如加载白屏,超时加载,卡顿等等,一系列的问题,每次在使用Webview的时候脑海中是不是出现过无数的草泥马。今天我们将从性能、内存消耗、体验、安全几个维度,来系统的分析客户端默认WebView的问题,以及对应的优化方案。彻底解决困扰在Android工程师面前的这个难题。1.性能问题打开速度比native慢对于一个普通用...
Android中解决WebView上下滑动监听问题
08-30
本篇文章主要介绍了Android中解决WebView滑动监听问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android WebView 常见问题及处理方案
01-05
但是androidwebview默认支持的功能非常弱,很多地方都是需要自定义的,才能达到我们想要的效果。并且webview在不同的版本会有不同程度的bug。下面小编把webview经常出现的问题给大家整理如下: 1.为WebView自定义...
Android WebView实现截长图功能
01-20
本文实例为大家分享了Android实现截长图功能的具体代码,供大家参考,具体内容如下 先看看手机自带的长截屏功能: 机型: vivo x9 plus   大胆推测实现逻辑:   1:需要一个可以滚动的View   2:截取View在屏幕渲染...
Android Webview重定向问题解决方法
08-27
Android开发过程中,使用过WebView的童鞋可能难免会遇到URL重定向问题。这篇文章主要介绍了Android Webview重定向问题解决方法,非常具有实用价值,需要的朋友可以参考下
android webview input=file 失效解决方案
05-24
android webview input=file 失效解决方案
react-native开发安卓端app
m0_73872315的博客
04-24 563
总之,第一次app开发还是颇废了我一番功夫的,可以说红温了很多次,不过好在最终没有夭折。。。接下来要做点啥好像暂时还没有思路,正在思考我需要点啥中。。。。
Android 跨进程通信
最新发布
Yimi-依米 的博客
04-24 184
Android中常用的跨进程通信方法有以下几种: Intent、Binder、AIDL、Messenger、ContentProvider。
Android Binder——数据传输限制(二十三)
小旭的专栏
04-24 284
当一个 Launcher 启动一个 APP 的时候,AMS 会通知 Zygote 进程 fork 出一个 APP 进程,然后加载 APP 进程的功能类 ActivityThread。APP 进程初始化(1)调用到 Native 层的 ProcessState 来获得 Binder 驱动的设备文件"/dev/binder"的文件描述符,并内存映射。(2)通过ProcessState启动Binder线程池,并且创建Binder主线程。该线程池对于当前进程有且仅有一个。
android webview post 劫持,WebView进行post请求
06-09
对于 Android WebView 进行 POST 请求时,可以通过以下步骤来防止劫持: 1. 设置 WebView 的 Cookie,以保证登录状态的正确性。 2. 在进行 POST 请求时,对请求的数据进行加密处理,防止数据被篡改。 3. 在请求头中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值