Android Webview SSL 自签名安全校验解决方案

最新推荐文章于 2023-09-14 15:20:01 发布
最新推荐文章于 2023-09-14 15:20:01 发布
阅读量488 收藏 1
点赞数
文章标签: 移动开发 java
原文链接:http://www.cnblogs.com/liyiran/p/7011317.html
版权
  • 服务器证书校验主要针对 WebView 的安全问题。
  • 在 app 中需要通过 WebView 访问 url,因为服务器采用的自签名证书,而不是 ca 认证,使用 WebView 加载 url 的时候会显示为空白,出现无法加载网页的情况。
  • 使用 ca 认证的证书,在 WebView 则可以直接显示出来,不需要特殊处理。
  • 以往针对自签名证书的解决方案是继承 WebViewClient 重写 onReceivedSslError 方法,然后直接使用 handler.proceed(),该方案其实是忽略了证书,存在安全隐患。
  • 安全的方案是当出现了证书问题的时候,读取 asserts 中保存的的根证书,然后与服务器校验,假如通过了,继续执行 handler.proceed(),否则执行 handler.cancel()。

WebViewClient 源码

  • 当证书出现问题的时候,有 2 种情况。系统默认不加载该网页
    • handler.cancel()

    • handler.proceed()

        public class WebViewClient {

      public void onReceivedSslError(WebView view, SslErrorHandler handler,
              SslError error) {
          handler.cancel();
      }
      ...

  }

以往不安全的解决方案

  • 当出现 ssl error 的时候,直接忽略,依旧打开网页。

  • 继承系统的 WebViewClient , 重写 onReceiverSslError() ,改为 handler.process()

      public class UnSafeWebViewClient extends WebViewClient
  {
      @Override
      public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
          handler.proceed();
      }
  }

安全的解决方案

  • 把服务器的证书放置在 assert 文件夹,当出现 ssl error 的时候进行读取,然后与服务器校验,校验通过了就加载该网页。校验不通过,不打开网页,进行安全提醒。

      public class WebviewClient3 extends WebViewClient {
      private Context context;

      public WebviewClient3(Context context) {
          this.context = context;
      }

      @Override
      public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
          test12306(handler, view.getUrl());
      }

      // 以 12306 的证书为例,因为 12306 的证书是自签名的
      private void test12306(final SslErrorHandler handler, String url) {
          OkHttpClient.Builder builder;
          try {
              builder = setCertificates(new OkHttpClient.Builder(), context.getAssets().open(MainActivity.cer_protal_root));
          } catch (IOException e) {
              builder = new OkHttpClient.Builder();
          }
          Request request = new Request.Builder().url(url)
                  .build();
          builder.build().newCall(request).enqueue(new Callback() {
              @Override
              public void onFailure(Call call, IOException e) {
                  Log.e("12306 error", e.getMessage());
                  handler.cancel();
              }

              @Override
              public void onResponse(Call call, Response response) throws IOException {
                  Log.e("12306 ", response.body().string());
                  handler.proceed();
              }
          });
      }

      private OkHttpClient.Builder setCertificates(OkHttpClient.Builder client, InputStream... certificates) {
          try {
              CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
              KeyStore keyStore = KeyStore.getInstance("PKCS12", "BC");
              keyStore.load(null);
              int index = 0;
              for (InputStream certificate : certificates) {
                  String certificateAlias = Integer.toString(index++);
                  keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));

                  try {
                      if (certificate != null)
                          certificate.close();
                  } catch (IOException e) {
                  }
              }
              SSLContext sslContext = SSLContext.getInstance("TLS");
              TrustManagerFactory trustManagerFactory =
                      TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
              trustManagerFactory.init(keyStore);
              sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
              SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
              X509TrustManager trustManager = Platform.get().trustManager(sslSocketFactory);
              client.sslSocketFactory(sslSocketFactory, trustManager);
          } catch (Exception e) {
              e.printStackTrace();
          }
          return client;
      }
  }

  • 以上代码可以针对规范的自签名证书进行校验了。但是呢,我们的证书不规范,会出现 Hostname xxx not verified 的情况。这种情况需要对 Hostname 进行校验。需要在 client 上添加如下代码

          client.hostnameVerifier(new HostnameVerifier() {
          @Override
          public boolean verify(String hostname, SSLSession session) {
              String peerHost = session.getPeerHost();//服务器返回的域名
              try {
                  X509Certificate[] peerCertificates = (X509Certificate[]) session.getPeerCertificates();
                  for (X509Certificate c : peerCertificates) {
                      X500Principal subjectX500Principal = c.getSubjectX500Principal();
                      String name = new X500p(subjectX500Principal).getName();
                      String[] split = name.split(",");
                      for (String s : split) {
                          if (s.startsWith("CN")) {
                              if (s.contains(hostname) && s.contains(peerHost)) {
                                  return true;
                              }
                          }
                      }
                  }
              } catch (SSLPeerUnverifiedException e) {
                  e.printStackTrace();
              }
              return false;
          }
      });

获取证书两种方法

  1. 服务器组直接给。如测试 12306 网站的时候,进入网页,12306 会提供根证书的下载
  2. 通过网页获取。
    1. Chrome 浏览器,按 F12 选择 Security
    2. 选择 Certificate Error 的 View certificate
    3. 在弹出的证书,选择详细信息
    4. 在详细信息页面,点击复制到文件,一路下一步,然后选择保存证书的地方,就把证书成功导出来了。

证书的读取

  • 从 assert 中读取文件

      InputStream is = getAssets().open("root.cer");

生成 jks 、 cer 证书的 keytool 命令

  • 生成 jks

      keytool -genkey -alias li_server -keyalg RSA -keystore li_server.jks -validity 3600 -storepass 123456

  • 使用 jks 生成 cer

      keytool -export -alias li_server  -file li_server.cer  -keystore li_server.jks -storepass 123456

基础知识

  • java 平台默认识别 jks 格式的证书文件, 但是 Android 平台只识别 bks 格式的证书文件

注意:

  • 使用本地服务器测试的时候,使用的 IP 地址,如:192.168.2.22,生成的服务器证书需要添加(-ext san=ip:192.168.2.22),否则会出现 Hostname xxx not verified 的问题:
    keytool -genkey -alias li_server -keyalg RSA -keystore li_server.jks -validity 3600 -storepass 123456 -ext san=ip:192.168.2.22

Tomcat 搭建 SSL 环境

  1. 百度搜索 tomcat 本地搭建
  2. 生成的证书 jks 放到 tomcat 的根目录,如:D:\apache-tomcat

  3. 修改 server.xml 文件,在 Service 节点,添加如下代码

     <Connector SSLEnabled="true" acceptCount="100" clientAuth="false" 
     disableUploadTimeout="true" enableLookups="true" keystoreFile="li_server.jks" keystorePass="123456" maxSpareThreads="75" 
     maxThreads="200" minSpareThreads="5" port="8443" 
     protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" 
     secure="true" sslProtocol="TLS"/>
  4. 重启 tomcat ,然后就可以访问 https 的地址了,端口为 8443,如:https://192.168.123.131:8443/

  5. 通过 chrome 可以看到,该网页不安全提醒。

常见问题

  1. 证书有问题,证书来自不信任的来源
    java.security.cert.CertPathValidatorException: Trust anchor for certification path not found
  2. 配置服务器所使用的证书不具有与尝试连接的服务器匹配的主题或主题备用名称字段
    Hostname xxx not verified:

参考:
Android 安全之 Https 中间人攻击漏洞:http://yaq.qq.com/blog/13
Android HostName 强验证:http://www.cnblogs.com/fengchuxiaodai/p/5962760.html
Android WebView 手动校验 https 证书: http://blog.csdn.net/lsyz0021/article/details/54669914
Android HTTPS : http://blog.csdn.net/lmj623565791/article/details/48129405
Android HostName XXX not verified : https://developer.android.com/training/articles/security-ssl.html#CommonHostnameProbs
SSLPeerUnverifiedException:HostName not verified: https://stackoverflow.com/questions/30745342/javax-net-ssl-sslpeerunverifiedexception-hostname-not-verified
jks 转 bks :http://blog.csdn.net/bigboysunshine/article/details/54134382
jks 转 bks : http://www.cnblogs.com/darkdog/p/4281555.html
Retrofit 使用 HTTPS: http://blog.csdn.net/dd864140130/article/details/52625666
解析证书乱码问题:http://blog.csdn.net/suntongo/article/details/38864413

转载于:https://www.cnblogs.com/liyiran/p/7011317.html

diaolapei9880
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 ...
Android中使用Webview SSL签名CA证书安全校验方案
jsxin0816的博客
11-18 2847
Android中使用Webview SSL签名证书校验
webviewSSl证书问题
最新发布
Z_Try的博客
09-14 574
webviewssl证书问题显示空白页
OkHttp3出现java.io.IOException: Hostname was not verified解决方案
dearbaba_8520的博客
07-06 1656
OkHttp3出现java.io.IOException: Hostname was not verified解决方案
ssl连接客户端报缺少证书错误解决方式
海角屿
03-12 5071
import java.io.BufferedReader; import java.io.InputStreamReader; import java.io.Reader; import java.net.URL; import java.net.URLConnection; import java.security.cert.X509Certificate; import javax.net
Android OKHttp https java.io.IOException: Hostname was not verified 问题解决
will_han 的专栏
04-10 8662
最近公司的项目要转用https,这里主要还是用到鸿神的 GitHub,其中设置可以访问所有网站代码是这样的 HttpsUtils.SSLParams sslParams = HttpsUtils.getSslSocketFactory(null, null, null); OkHttpClient okHttpClient = new OkHttpClient.Builder()
android webview input=file 失效解决方案
05-24
这通常是因为Android安全策略限制了Webview对本地文件系统的访问。本文将深入探讨这个问题,并提供解决方案。 ### 问题分析 1. **安全策略限制**:AndroidWebView遵循Chrome的同源策略,不允许跨域访问,包括...
AndroidWebView常见问题及解决方案汇总
01-20
以上就是一些Android WebView在实际开发中可能遇到的问题及解决方案,它们涵盖了错误处理、数据管理、用户交互、安全性等多个方面。了解并掌握这些技巧,能帮助开发者更好地利用WebView构建高效、稳定的应用。
Android Webview滑进出屏幕闪烁的解决方法
08-26
Android Webview 滑进出屏幕闪烁的解决方法 在 Android 开发中,Webview 是一个非常常用的控件,但是当我们使用 Webview 进行滑动操作时,会出现一个问题,那就是从屏幕可见区域外向内滑动时,Webview 区域会闪烁的...
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞及解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
浅谈关于Android WebView上传文件的解决方案
01-20
然而,当H5页面需要实现文件上传功能时,由于安全和权限限制,AndroidWebView并不能直接弹出系统文件选择器。本文将详细介绍如何解决这个问题,以确保用户能够在WebView中顺利上传本地文件。 首先,我们需要确保...
Android webview 内存泄露的解决方法
08-29
Android WebView 内存泄露的解决方法 Android WebView 是一个非常常用的组件,然而它也存在一些问题,其中之一就是内存泄露的问题。在 Android 中,WebView 内存泄露的解决方法主要有两种:一种是避免在 XML 中直接...
Android WebView打开网页一片空白的解决方法
08-26
Android系统对HTTPS连接的安全性有着严格的检查,尤其是对于自签名或者非受信任的证书,系统默认会阻止加载。在WebView加载HTTPS网页时,如果遇到SSL证书错误,`onReceivedSslError`回调会被触发。默认情况下,...
Android Webview重定向问题解决方法
08-27
这篇文章将详细讲解如何解决Android WebView的重定向问题。 首先,理解重定向问题的本质是关键。在网页浏览过程中,当用户点击一个链接或服务器返回特定的HTTP状态码(如3xx系列)时,浏览器通常会自动执行重定向...
Android Webview上的ssl warning的处理方式详解及实例
01-05
Android Webview上的ssl warning的处理方式详解 前言: 因为最近遇到google pay上汇报的安全漏洞问题,需要处理ssl warning. 安全提醒 您的应用中 WebViewClient.onReceivedSslError 处理程序的实施方式很不安全。...
Androidjavax.net.ssl.SSLPeerUnverifiedException: Hostname ip not verified:解决办法
热门推荐
码莎拉蒂
06-08 2万+
1、问题用HttpURLConnection去请求的时候抛了下面的异常HttpRequest$HttpRequestException: javax.net.ssl.SSLPeerUnverifiedException: Hostname ip not verified:2、分析和解决从异常来看是因为SSL协议握手的过程中,这个服务度地址的证书没有被证实,被信任。client使用一个不同的Trus...
Android okHttp:Https之SSL - Hostname was not verified
朱磊的博客
07-05 1万+
踩坑篇项目服务端传输协议换成了https,客户端打接口一直报:Hostname 'url' was not verified
javax.net.ssl.SSLPeerUnverifiedException: Hostname xxx not verified
Aile
12-07 8895
javax.net.ssl.SSLPeerUnverifiedException,制作自定义证书出现的不一致异常
android 服务器证书校验,Android SSL 验证服务器证书 Hostname 不匹配错误。
weixin_33308985的博客
05-26 1508
使用HttpsURLConnection进行https访问的时候,当验证服务器证书的时候,有时候会报下面的错误。12-24 16:37:04.801: W/System.err(26380): java.io.IOException: Hostname '74.208.145.100' was not verified12-24 16:37:04.801: W/System.err(26380...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值