MTK Android12系统中的Strict Secure Cookie Policy问题

于 2024-08-01 14:44:54 发布
阅读量526 收藏 2
点赞数 9
分类专栏: 【Android 系统基础与定制】 # 【Android Mediatek平台】 文章标签: android https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SHH_1064994894/article/details/140846798
版权

背景

在Android 12系统中,应用程序在设置Cookie时可能会遇到如下错误:

E chromium: [ERROR:cookie_manager.cc(129)] Strict Secure Cookie policy does not allow setting a secure cookie for http://xxx.yuming.com/ for apps targeting >= R. Please either use the 'https:' scheme for this URL or omit the 'Secure' directive in the cookie value.
为什么Android 12会遇到这个问题?

Android 12引入了更加严格的Secure Cookie Policy,以提高应用和用户数据的安全性。具体来说,当应用目标版本为Android 11(API Level 30)及以上时,系统会强制执行以下政策:

1.只能在HTTPS连接上设置Secure属性的Cookie。
2.试图在HTTP连接上设置Secure属性的Cookie会导致错误。

防止在不安全的HTTP连接上传输敏感信息,从而减少中间人攻击的风险。

参考:行为变更:以 Android 12 为目标平台的应用

为什么不在系统代码中修改CookieManager

修改系统源码框架中的CookieManager类并不是解决此问题的有效方法,原因如下:

  1. CookieManager是一个抽象类,没有具体实现,无法直接修改

    /**
 * Manages the cookies used by an application's {@link WebView} instances.
 * <p>
 * CookieManager represents cookies as strings in the same format as the
 * HTTP {@code Cookie} and {@code Set-Cookie} header fields (defined in
 * <a href="https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-03">RFC6265bis</a>).
 */
public abstract class CookieManager {

  2. RoboCookieManager类的修改无效
    虽然可以定位到RoboCookieManager类的文件,但系统不使用这个类,所以修改无效。

目前没有其他更好的办法,只有通过修改StringBuilder类替换字符。如果有更好的方法,请联系留言。

解决方案概述

通过修改系统的Cookie管理组件,强制将特定的HTTP URL转换为HTTPS,并强制设置这些URL的Cookie为Secure,以满足严格的Secure Cookie Policy。

方式1:设置iptables规则进行HTTP到HTTPS的重定向

  1. 查看iptables命令帮助:

    iptables -h

  2. 设置iptables规则进行HTTP到HTTPS的重定向:

    iptables -t nat -A OUTPUT -p tcp --dport 80 -d xxx.yuming.com -j DNAT --to-destination 127.0.0.1:443

  3. 验证规则是否生效:

    iptables -L -t nat

方式2:修改StringBuilder

直接修改Java核心类并不是推荐的方法,但在某些特定场景下需要排查问题,这种方法可以快速有效地解决问题。可以在StringBuilder类的toString方法中增加URL检查和转换逻辑(仅用于测试排查问题,不建议这么改)。

修改步骤
  1. 找到并打开StringBuilder类的源代码文件:该文件通常位于Java核心库的源码中。以下是文件路径和内容的差异:
    diff --git a/libcore/ojluni/src/main/java/java/lang/StringBuilder.java b/libcore/ojluni/src/main/java/java/lang/StringBuilder.java
index 325c9c5..b5acc7a 100644
--- a/libcore/ojluni/src/main/java/java/lang/StringBuilder.java
+++ b/libcore/ojluni/src/main/java/java/lang/StringBuilder.java
@@ -402,6 +402,43 @@ public final class StringBuilder
        return this;
    }

+@Override
+public String toString() {
+    // BEGIN Android-added: Return a constant "" for an empty buffer to keep historic behavior.
+    if (count == 0) {
+        return "";
+    }
+    // END Android-added: Return a constant "" for an empty buffer to keep historic behavior.
+    // Create a copy, don't share the array
+    String result = new String(value, 0, count);
+    
+    // 检查并转换URL
+    if (result.contains("yuming")) {
+        if (result.startsWith("http://xxx.yuming.com")) {
+            if (result.length() == "http://xxx.yuming.com".length()) {
+                result = "https://xxx.yuming.com";
+            } else if (result.length() == "http://xxx.yuming.com/".length()) {
+                result = "https://xxx.yuming.com/";
+            } else {
+                result = "https://xxx.yuming.com" + result.substring("http://xxx.yuming.com".length());
+            }
+        } else if (result.startsWith("http://xxxgw.yuming.com")) {
+            if (result.length() == "http://xxxgw.yuming.com".length()) {
+                result = "https://xxxgw.yuming.com";
+            } else if (result.length() == "http://xxxgw.yuming.com/".length()) {
+                result = "https://xxxgw.yuming.com/";
+            } else {
+                result = "https://xxxgw.yuming.com" + result.substring("http://xxxgw.yuming.com".length());
+            }
+        } else if (result.startsWith("http://")) {
+            result = "https://" + result.substring("http://".length());
+        }
+    }
+
+    return result;
+}

具体修改内容
StringBuilder类的toString方法中增加对特定URL的检查和转换逻辑,确保所有包含yuming的HTTP URL都会转换为HTTPS。

总结

通过上述2种方法,可以解决Android 12系统中Strict Secure Cookie Policy的问题:

  1. 设置iptables规则:通过设置iptables规则进行HTTP到HTTPS的重定向。
  2. 直接修改核心类:在StringBuilder类中增加URL检查和转换逻辑。

虽然直接修改Java核心类可以解决问题,但这种方法存在较大风险,不推荐使用。建议优先考虑修改系统配置或联系应用工程师去解决这个问题,

一歲抬頭
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java cookie secure_加密会话(SSL)Cookie 缺少 Secure 属性
weixin_33238272的博客
02-23 3211
加密会话(SSL)Cookie 缺少 Secure 属性AppScan 发现加密会话(SSL)使用的是没有“secure”属性的 cookie。因为不想修改后端代码,因此希望能从nginx上将其修复。没修复之前没修复之前,这个cookie是没有secure参数的,如上图,上面的那些secure则是我在添加了一个 add_header Set-CookieSecure”; 获得的,虽然网上大部...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5100
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
android webView设置setCookie,报错Strict Secure Cookie policy does not allow setting a secure cookie for
ZhaDanRen_的博客
08-31 1105
Android5.0以上版本设置setCookie,需要加一下规则 CookieManager cookieManager = CookieManager.getInstance(); cookieManager.setAcceptCookie(true); if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) { cookieManager.setAcceptThirdPartyCookies(appView, true);
javascriptStrict模式
程序那些事
03-15 6554
我们都知道javascript是一个弱类型语言,在ES5之前,javascript的程序编写具有很强的随意性,我可以称之为懒散模式(sloppy mode)。比如可以使用未定义的变量,可以给对象的任意属性赋值并不会抛出异常等等。 在ES5,引入了strict模式,我们可以称之为严格模式。相应的sloppy mode就可以被称为非严格模式。 严格模式并不是非严格模式的一个子集,相反的严格模式在语义上和非严格模式都发生了一定的变化,所以我们在使用过程,一定要经过严格的测试。以保证在严格模式下程序的执行
Android文件系统
特立独行的博客
08-27 4365
Android文件系统 device/qcom/trinket/AndroidBoard.mk ifeq ($(strip $(BOARD_DYNAMIC_PARTITION_ENABLE)),true) include $(CLEAR_VARS) LOCAL_MODULE := fstab.qcom LOCAL_MODULE_TAGS := optional LOCAL_MODULE_CLASS := ETC ifeq ($(ENABLE_AB), true) LOCAL_SRC_FILE
HTTP请求的referrer和Referrer-Policy
huangbaokang的博客
09-04 2384
什么是referrer 当一个用户点击当前页面的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求,请求头的referrer字段就说明了你是从哪个页面发起该请求的。使用场景有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头,或者是否显示完整路径等。尤其是在以下两个使用场景: 隐私 在社...
CookieSameSite的问题与解决办法
热门推荐
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
浅谈cookie的SameSite属性
weixin_47450807的博客
03-03 9182
今天看了一道面试题,关于cookie的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
Hook android系统调用的实践
Fly20141201. 的专栏
05-01 6524
一、环境条件 Ubuntukylin 14.04.5 x64bit Android 4.4.4 Nexus 5 二、Android内核源码的下载 执行下面的命令,获取 Nexus 5手机 设备使用的芯片即获取Nexus 5手机设备内核源码的版本信息。 $ adb shell # 查看移动设备使用的芯片信息 $ ls /dev/block/platfor
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3319
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
MySQL使用遇到的问题记录
09-09
MySQL是世界上最流行的关系型数据库管理系统之一,其在实际使用可能会遇到各种问题。本文将针对在MySQL使用过程遇到的问题进行详细解析,提供解决方案。 首先,一个常见的问题是由于`sql_mode=only_full_group_...
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
随着Web技术的发展,跨域安全问题愈发突出,"Referrer-Policy : strict-origin-when-cross-origin"便是为了解决这一问题而提出的策略。本文将深入探讨这个策略的含义、作用以及如何在实际开发应用。 一、Referrer...
在JavaScript使用严格模式(Strict Mode)
10-16
主要介绍了在JavaScript使用严格模式(Strict Mode),除了正常运行模式,ECMAscript 5添加了第二种运行模式:"严格模式"(strict mode)。顾名思义,这种模式使得Javascript在更严格的条件下运行。,需要的朋友可以...
Android 将view 转换为Bitmap出现空指针问题解决办法
08-29
Android 将view 转换为Bitmap是一种常见的操作,但是在这个过程可能会出现空指针异常的问题。本文主要介绍了Android 将view 转换为Bitmap出现空指针问题解决办法的相关资料,提供实例并提供解决办法。 Android 将...
android-app:ito是一款基于STRICT跟踪感染的移动应用
02-02
"ito"是一款专为Android平台设计的应用程序,它利用了STRICT(Specific, Targeted, Responsible, Informed, Comprehensive, and Ethical)跟踪技术来帮助防控新冠病毒的传播。这款应用旨在通过智能追踪,为用户提供...
Android笔试面试题AI答之Android系统与综合类(1)
学无止境,止于至善
07-25 1038
答案仅供参考,来着文心一言、Kimi.ai。
AWS-负载均衡-创建一个对外的HTTPS ALB
墨痕诉清风的博客
07-25 1017
Elastic Load Balancing 支持三种类型的负载均衡器:Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。这里用ALB( Application Load Balancer)说明。
chromedriver-mac-arm64_127.0.6511.0.zip
07-31
chromedriver-mac-arm64_127.0.6511.0.zip
chromedriver-mac-arm64_128.0.6576.0.zip
最新发布
07-31
chromedriver-mac-arm64_128.0.6576.0.zip
docker访问nginxReferrer Policy: strict-origin-when-cross-origin
04-16
在Docker访问Nginx时,可以通过设置Referrer Policy来控制浏览器在发送请求时如何处理Referrer头部信息。Referrer Policy是一个HTTP头部字段,用于指定浏览器在发送请求时如何处理Referrer信息。 "strict-origin-when-cross-origin"是一种Referrer Policy的取值,表示当请求从同源页面发出时,会将完整的URL作为Referrer发送;而当请求从跨域页面发出时,只会发送源站的URL作为Referrer,不会包含路径和查询参数。 这种策略可以提供一定的安全性,防止跨域页面获取到完整的URL信息。同时也能保护用户的隐私,不会将完整的URL信息暴露给第三方网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一歲抬頭

点赞1元,收藏免费,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值