【Android】HTTP和HTTPS混合使用

最新推荐文章于 2024-04-16 01:14:56 发布
最新推荐文章于 2024-04-16 01:14:56 发布
阅读量2.1k 收藏
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UIChi/article/details/88414147
版权

Android P默认https传输协议, 通过SSLSocketFactory手动添加了(数据交互)服务端的证书,但加载的图片资源、html等可能使用的http协议,导致资源无法访问。

先贴一下证书的添加

	private static final String CLIENT_TRUST_PASSWORD = "123456";//信任证书密码
    private static final String CLIENT_AGREEMENT = "SSL";//使用协议
    private static final String CLIENT_TRUST_MANAGER = "X509";
    private static final String CLIENT_TRUST_KEYSTORE = "BKS";
    private static SSLContext sslContext ;

    public static SSLContext getSslSocket(Context context) {
        try {
            //取得SSL的SSLContext实例
            sslContext = SSLContext.getInstance(CLIENT_AGREEMENT);
            //取得TrustManagerFactory的X509密钥管理器实例
            TrustManagerFactory trustManager = TrustManagerFactory.getInstance(CLIENT_TRUST_MANAGER);
            //取得BKS密库实例
            KeyStore tks = KeyStore.getInstance(CLIENT_TRUST_KEYSTORE);
            InputStream is = context.getResources().openRawResource(R.raw.xxx);
            try {
                tks.load(is, CLIENT_TRUST_PASSWORD.toCharArray());
            } finally {
                is.close();
            }
            //初始化密钥管理器
            trustManager.init(tks);
            //初始化SSLContext
            sslContext.init(null, trustManager.getTrustManagers(), null);
        } catch (Exception e) {
            Log.e("SslContextFactory", e.getMessage());
        }
        return sslContext;
    }

再在okhttp中引用

	SSLSocketFactory sslSocketFactory = Https.getSslSocket(context).getSocketFactory();
	
	OkHttpClient.Builder builder = new OkHttpClient()
	                .newBuilder()
	                .sslSocketFactory(sslSocketFactory)
	                .connectTimeout(CONNECT_TIMEOUT, TimeUnit.SECONDS)
	                .readTimeout(READ_TIMEOUT, TimeUnit.SECONDS)
	                .writeTimeout(WRITE_TIMEOUT, TimeUnit.SECONDS);
  • 问题1:sslSocketFactory(sslSocketFactory)AS提示该方法已过时;
  • 问题2:系统默认通讯为https,该方法只有在发起okhttp请求时才可用。

过时不过时的,能用就先不管了,后续再找替代方法。主要的问题在于问题2,当在请求其他资源时,如果不是https协议,就无法请求。关键点在于:

android:usesCleartextTraffic=“true”

即是否使用明文通讯

方案:动态设置android:usesCleartextTraffic的值

百度了一下,各种骚套路 Java一切皆可反射!
不过大部分例子都是动态更改包名、icon等,以及通过gradle区分debug与上线版本等。本人能力有限,这些例子都不大适用。

拿着webview上的错误,Google一波。
Android 8: Cleartext HTTP traffic not permitted
这里边的都是只信任自己的域名,也就是添加白名单。例如:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">***Your URL(ex: 127.0.0.1)***</domain>
    </domain-config>
</network-security-config>

但我需要的是反其道而行之,直接来个反相?

	<?xml version="1.0" encoding="utf-8"?>
	<network-security-config>
	    <domain-config cleartextTrafficPermitted="false">
	        <domain includeSubdomains="true">***Your URL(ex: 127.0.0.1)***</domain>
	    </domain-config>
	</network-security-config>


	<application

		android:networkSecurityConfig="@xml/network_security_config"
        android:usesCleartextTraffic="true">

设置全局明文传输,只有在指定域名下才适用https。
结果很显然不行,设置方式不对。

再搜一下:How to allow all Network connection types HTTP and HTTPS in Android (9) Pie?
这一页的回答虽然不多,但看到了新的东西:base-config

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
</network-security-config>

也就是说,里边至少有两个标签:domain-configbase-config
查到了关键点,看看国内这方面的文章,一搜,果然有,算是一篇科普向的文章:Android网络安全配置
列出两个关键点:

  • base-config,默认的配置,不在 domain-config 范围内的所有连接所使用的配置。

<trust-anchors> 证书集合,可包裹多个 证书

  • domain-config。满足domain规则所使用的配置,可配置任意多个,domain-config的嵌套表示继承外层的配置规则。

<trust-anchors> 证书集合
<pin-set> 固定的证书,通过 expiration 配置过期时间,可包裹多个 证书
<domain> 域名规则,通过 includeSubdomains 配置是否支持子域名
<domain-config> 嵌套规则

依葫芦画瓢:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">地址</domain>
    </domain-config>
    <base-config cleartextTrafficPermitted="true"/>
</network-security-config>

大概意思是:默认使用明文,但在与地址通讯时,使用https协议加密传输。
运行一下,使用Fiddler抓抓包,结果如下:
Fiddler抓包
数据交互是https协议,同时可以加载http的资源。
好,完结。

三须鳗鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解android 用webview加载网页(httpshttp)
08-28
Android WebView 加载网页(HTTPSHTTPAndroid WebView 加载网页是移动应用开发中的一项基本需求。然而,在加载 HTTPSHTTP 网页时,WebView 可能会出现一些问题,本文将详细介绍这两个错误的解决方法。 ...
Android和ReactNative混合开发Demo
09-03
在移动应用开发领域,Android和React Native的混合开发已经成为一种常见的技术栈选择,它结合了原生应用的优势和Web开发的便利性。本教程通过"Android和React Native混合开发Demo",将详细介绍如何在Android应用中...
Android HTTPHTTPS那点事
Jo__yang的专栏
12-31 6074
先看看网络OSI(Open System Interconnect)模型: CA证书是什么?CA(Certificate Authority)是负责管理和签发证书的第三方权威机构,是所有行业和公众都信任的、认可的。 CA证书,就是CA颁发的证书,可用于验证网站是否可信(针对HTTPS)、验证某文件是否可信(是否被篡改)等,也可以用一个证书来证明另一个证书是真实可信,最顶级的证书称为根证书。除
Flutter中使用webview_flutter遇到的httpshttp混用问题(Android
Mr_Tony的专栏
12-16 3327
Flutter中WebView使用遇到的问题
Android 面试必备 - httphttps 协议
最新发布
2401_84148974的博客
04-16 423
(含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总)面试成功其实是必然的,因为我做足了充分的准备工作,包括刷题啊,看一些Android核心的知识点,看一些面试的博客吸取大家面试的一些经验,
httpshttp混用出现的问题解决办法
u010078835的专栏
01-14 4523
https域下请求http的接口,调用时页面报混用错误。 解决方法:页面端适配当前域名,根据当前地址变化来决定调用https接口或http接口(因为测试环境是http,而生产环境是https)。 后端接口用统一的一个requestmapping前缀。服务器端在nginx端配置该前缀的转发,由nginx负责转发至http请求,转发的地址配置到目的ip的端口号即可 ...
Android WebView HTTPHTTPS 混合调用
iWay7的专栏
04-11 1760
做项目的时候观察到一种现象,公司 H5 页面访问接口的时候获取不到数据。结合前后发生的事情,将原因锁定在最近公司网址由 HTTP 换作 HTTPS 上。经过查询,在 API 21 及以后,Android WebView 更改了安全策略,不允许 HTTPS 的页面通过 AJAX 调用 HTTP 接口。1、解决办法有两个,一个是将 HTTP 服务转换为 HTTPS,还有一个是更改 Android We...
Android WebView https白屏、HttpHttps混合问题、证书配置和使用
热门推荐
主要记录一些问题处理记录,部分是作为知识库使用
09-29 2万+
目录前言启用https后白屏(证书错误)修改处理WebView中HttpHttps混合问题处理办法Webview的几种内容加载模式证书配置或处理https请求的证书okhttp进行请求:HttpsURLConnection忽略证书 前言 原有项目中有部分界面是用webview展现的h5页面,一直以来都使用http地址,但有些情况下,用户dns被劫持,页面上出现了一些广告的内容,或者页面就是白屏,总结起来还是因为使用http,页面内容被劫持修改,修改后的内容要么多出广告,要么被修改得加载不出来,因此项目
Android开发 httphttps连接
shanglizhangrui的专栏
03-22 2962
转载地址:http://blog.csdn.net/k763925053/article/details/40588987之前的Android项目一般都是用http连接,现在需要兼容https连接,趁此机会就将httphttps协议好好了解了一下。首先先来看一下http协议的原理:1、HTTP原理HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展...
android 混合开发 webview java 和 h5
03-03
Android应用开发中,...总结来说,Android混合开发中的WebView组件使得Java和H5能够无缝协作,提供了丰富的功能和便捷的开发体验。通过理解并掌握WebView的相关知识,开发者能够构建出更强大、更灵活的Android应用。
VitamioBanner_原生_android视频图片混合轮播_
10-01
综上所述,`VitamioBanner_原生_android视频图片混合轮播`项目通过巧妙地结合`MediaPlayer`和`ViewPager`,实现了视频与图片的混合轮播效果,为开发者提供了一种高效且灵活的实现方案。在实际开发中,这样的功能可以...
详解android与HTML混合开发总结
09-27
如上述代码所示,可以使用Android的CookieManager来管理cookie,包括设置、获取和同步。这在登录状态保持、个性化推荐等场景下尤为关键。注意,对于HTTPS协议的网站,需要正确配置CookieManager以支持安全的跨域通信...
WebView中HttpHttps混合问题
07-13 1166
场景复现:在Android5.0 以及以上的系统,当WebView加载的链接为Https开头,但是链接里面的内容,比如图片为Http链接,这时候,图片就会加载不出来,在浏览器中的Console会有如下警告log:The page at 'https://***********/test.html?userName=26535fd656sdf966339eecc013esfd91' was loade
【新手向】Nginx+Tomcat+SSL 实现多项目httphttps混用
baidu_34861695的博客
07-30 815
配置这个要被配置崩溃了。网上的教程和博文都不全面不完整,让我等小白看的没头没尾,van分痛苦。 因此记录下来,造福新手。 首先背景是:两个项目放在一个服务器上,httphttps都要支持。所以在阿里云上,申请了两个域名指向一个服务器ip。比如test.a.com,test.b.com。 第一步:配置两个tomcat对应两个项目,端口保险起见,不用默认的80。我选择了8087和8088。其中...
android 部署https,tomcat同时使用httphttps访问的配置方法
weixin_42236063的博客
05-27 131
type="org.apache.catalina.UserDatabase"description="User database that can be updated and saved"factory="org.apache.catalina.users.MemoryUserDatabaseFactory"pathname="conf/tomcat-users.xml" />conne...
Android WebView httpshttp混合以及跨域问题
hhllnw的博客
04-11 6310
1、WebView HTTPSHTTP混合使用出现的错误 Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'xxxxxxxxx'. This request has been blocked; the content must ...
https不能和http混用,但可以和本地地址的http混用
Wewon_real的博客
09-24 3503
https不能和http混用,谷歌浏览器会禁止它访问http,因为不安全,但可以和本地地址的http混用。
网站同时支持httphttps访问
漂泊的程序猿
03-10 2975
1.在腾讯云申请SSL证书https://buy.cloud.tencent.com/ssl?fromSource=ssl,此时选择了个人配置DNS,具体使用方法请参照官网说明。 2.证书申请成功后,下载证书上传到服务器,将crt和key两个文件放到/usr/local/httpscrt文件夹中 3.修改nginx配置文件如下: ...
移动端混合开发webview对于httpshttp 混合使用
yangwubolwg的博客
11-05 1172
一、问题场景 在混合开发应用中出现https资源无法访问的现象 二、问题分析 对于https的页面访问,之前测试过新浪https://www.sina.com.cn/能够正常访问,觉得应该是没有问题的,于是使用问题页面进行测试, 发现访问https://192.168.13.34 类似这样的IP形式的页面确实有问题。 安卓报错如下: I/X509Util: Failed to validate the certificate chain, error: java.security.cer..
Android原生开发和 混合开发 区别
04-25
Android原生开发是指使用Java或Kotlin等编程语言,利用Android SDK提供的原生API开发Android应用程序。在原生开发中,应用程序完全运行在本地设备上,具有良好的性能和稳定性。而混合开发则是使用Web技术(如HTML、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值