技术文章 | Android Webview场景下防止dns劫持的探索

最新推荐文章于 2022-07-29 14:12:11 发布
最新推荐文章于 2022-07-29 14:12:11 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: 技术文章 文章标签: request aliyun API string url

本文来源于阿里云-云栖社区,原文点击这里


阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNIokhttp等都有最佳实践,但在webview场景下却一直没完美的解决方案。

拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。


基本原理


拦截方案是指通过对webview进行配置WebViewClient来做到对网络请求的拦截:

void setWebViewClient (WebViewClient client);

拦截方案的的调用流程如下图所示:


Webview相关的网络请求由系统的chromium网络库发起,Webview调用loadUrl方法时,chromium网络库会构造URLRequest实例,经过c层到java层,最终请求参数会回调给上层WebViewClientshouldInterceptRequest方法,而我们的目标是在shouldInterceptRequest方法中通过HTTPDNS进行URL中域名到ip的替换,并且构造和返回合法的WebResourceResponse,让webview在避免dns劫持的同时,也能正常地进行展示。


局限

首先,当Android API < 21时,WebViewClient提供的拦截API如下:

public WebResourceResponse shouldInterceptRequest(WebView view, String url);

此时shouldInterceptRequest只能拿到URL,而请求方法、头部等这些信息是拿不到的,强行拦截会造成请求信息的丢失,由此可知局限1:

局限1:Android API < 21只能拦截网络请求的URL,请求方法、请求头等无法拦截;

其次,对于Android API >= 21的情况,其拦截API为:

public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request);

第2个参数变成了WebResourceRequest,其结构如下:

public interface WebResourceRequest {
    Uri getUrl();
    boolean isForMainFrame();
    boolean isRedirect();
    boolean hasGesture();
    String getMethod();
    Map<String, String> getRequestHeaders();
}

相比之下WebResourceRequest能给的多了MethodHeader以及是否重定向,但是没有Body,也无法预知该请求是否可能携带body,对于带body的符合协议但非标的Get请求一样无法拦截,因此局限2:

 展开全文

Mr_zebra
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 系统 DNS 劫持软件
10-09
可以用于DNS劫持劫持手机上面的DNS访问,把重定向DNS服务器导入到我们自己的服务器上面,然后,想干嘛干嘛 adb push libs/armeabi-v7a/dnsproxy2 /data/local/tmp adb push res/raw/20dnsproxy2 /data/local/tmp adb shell "su -c 'mount -o rw,remount /system'" adb shell "su -c 'cp -f /data/local/tmp/dnsproxy2 /system/xbin/'" adb shell "su -c 'cp -f /data/local/tmp/20dnsproxy2 /system/etc/init.d/'" adb shell "su -c 'chmod 755 /system/xbin/dnsproxy2 /system/etc/init.d/20dnsproxy2'" adb shell "su -c 'mount -o ro,remount /system'" adb shell "su -c 'rm -f /data/local/tmp/dnsproxy2 /data/local/tmp/20dnsproxy2'" adb reboot
android WebView JS alert劫持
chuanao8829的博客
06-28 181
WebSettings wSet = wv.getSettings(); wSet.setJavaScriptEnabled(true); wSet.setJavaScriptCanOpenWindowsAutomatically(true); wv.loadUrl("fi...
Android Webview场景防止dns劫持探索
u012426327的专栏
11-06 8414
劫持样式: 摘要: 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景都有最佳实践,拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。 背景 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNI、okhttp
Android native 安全防护之 防劫持
yukun的博客
05-15 1013
boolean safe = AntiHijackingUtil.checkActivity(this); if (safe){ }else { Toast.makeText(activity, "某某程序已到后台运行,请注意信息安全", Toast.LENGTH_LONG).show(); } // 这一套东西 是从谁那弄过来的 我找了好多博客发现都有
android webview post 劫持,在Android中对WebView的HTTP POST响应
weixin_35940587的博客
05-26 189
我正在尝试使用HTTP连接到该页面帖子.我做一个用于创建的http帖子一个webview.我需要从webview重定向到另一个页面.但是当单击“继续”按钮时会抛出异常.我的代码是public class ZHttpPostProjActivity extends Activity {/** Called when the activity is first created. */private W...
Android WebView.apk 浏览器内核 com.android.webview
最新发布
12-15
Android 原生浏览器内核,包名 com.android.webview,内核版本116。 适用版本:Android API 24 及以上版本。 com.android.webview_116.0.5845.163-minAPI24.apk
Android中解决WebView上下滑动监听问题
08-30
本篇文章主要介绍了Android中解决WebView滑动监听问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android Webview重定向问题解决方法
08-27
这篇文章将详细讲解如何解决Android WebView的重定向问题。 首先,理解重定向问题的本质是关键。在网页浏览过程中,当用户点击一个链接或服务器返回特定的HTTP状态码(如3xx系列)时,浏览器通常会自动执行重定向...
Android webview注入JS代码 修改网页内容操作
08-19
"Android webview注入JS代码 修改网页内容操作" Android webview注入JS代码 修改网页内容操作是Android开发中的一种常见操作,主要用于修改网页的内容以达到特定的效果。下面是关于Android webview注入JS代码 修改...
android webview input=file 失效解决方案
05-24
Android开发中,Webview是一个重要的组件,它允许我们在原生应用中内嵌网页内容,提供混合式应用的用户体验。然而,在使用Webview时,...这些步骤是Android开发者在处理Webview与本地文件交互时必须掌握的关键技术
android webview 劫持,微信webview 及第三方浏览器劫持视频问题
weixin_32578161的博客
05-26 1023
视频问题(安卓浏览器,app)安卓手机,大部分浏览器,强制劫持video标签;引起一系列问题;视频播放时及播放后处于置顶状态,导致提示窗等元素被遮挡;视频展示样式发生变化,设置圆角失效;视频的控件无法管理,出现下载,分享等按钮;视频暂停或播放结束时,甚至出现广告浮窗;视频尺寸与展示不一致时,object-fill:fill,cover 不起作用;1 视频问题汇总图.png由于是banner上配置的...
android webview 劫持,安卓包风险安全监测提示存在Activity劫持WebView远程代码执行,请问怎么解决?...
weixin_39542514的博客
05-26 728
挺着急的,请问这个怎么解决1、Activity劫持用例名称:Activity劫持风险系数:高风险编号:NESUN-2016-82091, CWE-94,风险描述:攻击者劫持目标Activity并制造跟目标Activity界面相似度很高的界面迷惑用户,可能导致钓鱼攻击,造成用户名/密码等敏感信息泄露。检测过程:1、对被测APP进行测试预处理。2、在测试助手上安装、运行被测APP。3、动态追踪目标AP...
解决 Android 中的 DNS 域名劫持问题
weixin_38754349的博客
02-04 2121
1、文章背景在客户端进行业务接口请求时,往往会在线上出现解析JSON响应内容失败而导致的应用崩溃,但是在实际开发测试过程中却没有遇到此问题。解决办法就是对JSON解析进行异常捕获,然后将实...
AndroidDNS域名劫持问题-解决方案
明哥
02-13 2691
前言 在客户端进行业务接口请求时,往往会在线上出现解析JSON响应内容失败而导致的应用崩溃,但是在实际开发测试过程中却没有遇到此问题。解决办法就是对JSON解析进行异常捕获,然后将实际响应内容上报到服务端,从而查看具体问题。对上报到服务端的实际响应内容进行分析后,发现响应内容变成各种HTML文本,以下是常见的几种: 1、安全DNS服务门户:Fortinet Secure DNS Service Portal <html> <head> <meta http-
webview http劫持的一点拦截 截取host方法 matcher.group理解
huch的博客
06-15 3882
先来了解下常见的网络劫持dns劫持(域名劫持) 现象就是用户不能访问目的网址或访问的是假网址。 http劫持 现象就是用户访问的看到的页面可能是被恶意修改过的,比如常见的在底部弹出宣传性的广告或者直接某网站的内容。本质是在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据。 以前做的一款App,今天被客户方投诉在上海地区出现了打开网页后接着跳转某赌博Ap...
Android中Https通信实现_中间人攻击、DNS欺骗和会话劫持
renzhongrui的博客
12-26 1184
上一篇文章记述了在Android中使用Https进行单向认证的配置,但单向认证存在中严重的安全漏洞,其中最容易受到中间人攻击和DNS欺骗,本文主要讲述进行中间人攻击和DNS欺骗的方式。 概览 中间人攻击 DNS欺骗 ...
WebView域名劫持问题以及自签名证书验证方式
刘旭
04-03 1803
一,背景介绍 WebView尽管有着各种各样的问题,但是至今为止很多前端页面加载到客户端还是要依靠WebView去加载,WebView加载的链接可以是不安全不需要经过证书认证的http,ws协议的域名,当然为了数据的安全性,大部分网页还是会采取https和wss协议的域名,在使用https或wss协议的域名过程中,就会出现域名劫持问题,导致用户无法正常访问,客户端会在Webview的回调函数中收到...
浅析即时通讯移动端开发DNS域名劫持等杂症
蔚可云的博客
07-29 250
这给腾讯的业务带来了巨大的损失。这个方案看上去很美好,114dns是国内最大的中立缓存DNS,而Google又是秉承不作恶理念的互联网工程帝国巨鳄,而且腾讯的权威DNS又支持edns-client-subnet功能,能直接识别使用GooglepublicDNS解析腾讯域名的用户的IP地址,不会出现流量调度失效。递归查询如果主机所询问的本地域名服务器不知道被查询域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其他根域名服务器继续发出查询请求报文,而不是让该主机自己进行下一步的查询。...
Android 防界面劫持方案,无视Android系统版本限制,无需操作栈
Prince_WenZheng的博客
01-20 8128
Android 防界面劫持方案 无视Android系统版本限制,无需操作栈 Demo下载地址:http://download.csdn.net/detail/prince_wenzheng/9742068
eoeandroid特刊第24期:深入解析Android WebView
eoe优亿开发者社区精心策划并发布此文档,旨在为Android开发者提供深入理解和实践WebView技术的指南。该特刊强调了版权归属,并鼓励读者在引用时保留原链接:www.eoeandroid.com。 主要内容包括以下几个部分: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值