Android WebView https与http混合以及跨域问题

最新推荐文章于 2024-07-05 18:39:44 发布
最新推荐文章于 2024-07-05 18:39:44 发布
阅读量6.3k 收藏 7
点赞数 1
分类专栏: 点滴积累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhllnw/article/details/89221787
版权

1、WebView HTTPS与HTTP混合使用出现的错误

Mixed Content: The page at 'xxx' was loaded over HTTPS, 
but requested an insecure XMLHttpRequest endpoint 'xxxxxxxxx'. 
This request has been blocked; 
the content must be served over HTTPS.", source:xxxxxx

webView加载的htttps网页的内容,但是在html中的js中存在一个http请求,那么加载这个webView的时候出现如上错误;

原因:从Android5.0开始,WebView默认不支持同时加载https与http混合模式

解决:
首先,介绍下这个方法,这个方法我理解的作用是WebView根据开发者设置的模式从安全站点(https)加载非安全站点内容(http)的方式

webView.getSettings().setMixedContentMode(int mode)

WebSettings.MIXED_CONTENT_ALWAYS_ALLOW 这种模式下,WebView是允许一个安全站点(https)去加载另一个非安全站点内容(http),这是WebView最不安全的操作模式,官方文档也不推荐使用;
WebView默认使用WebSettings.MIXED_CONTENT_NEVER_ALLOW这个模式,这种模式下,不允许一个安全站点(https)去加载另一个非安全站点内容(http)。列如我这里出现的情况,WebView加载的htttps网页的内容,但是在html中的js中存在一个http请求就会报错,这里应该加载js中应该加载https请求。我找到前端同事,希望他们这里改一下,但是由于一些原因js里改了https会产生其它问题,他们希望这里支持https与http混合使用

尝试用这个方法去解决我的问题,mode设置成MIXED_CONTENT_ALWAYS_ALLOW

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {
                webView.getSettings().setMixedContentMode(WebSettings.MIXED_CONTENT_ALWAYS_ALLOW);
            }

然后发现没效果,在网上找了各种方案都不行,最后重写

WebViewClient 的shouldInterceptRequest(WebView view, WebResourceRequest request)

方法,然后在html中的中添加

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

这个html是服务器下发的,读取并重写页面内容,这个解决了问题。

2、WebView 跨域问题

"Access to XMLHttpRequest at 'xxx' from origin 'xxxxxx' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.", source: xxxx

同样重写WebViewClient 的

shouldInterceptRequest(WebView view, WebResourceRequest request)

这个方法,并返回

 new WebResourceResponse(mimeType,"utf-8", 200,"OK",headers,new ByteArrayInputStream(stringBuffer.toString().getBytes()));

mimeType:

MimeTypeMap.getSingleton().getMimeTypeFromExtension(MimeTypeMap.getFileExtensionFromUrl(url));

headers:

Map headers =new HashMap<>();
// 解决webView跨域问题
headers.put("Access-Control-Allow-Origin", xxxxxx);
headers.put("Access-Control-Allow-Headers","X-Requested-With");
headers.put("Access-Control-Allow-Methods","POST, GET, OPTIONS, DELETE");
headers.put("Access-Control-Allow-Credentials", "true");

完整代码:

private WebResourceResponse getWebView(String path){
            WebResourceResponse response = null;
            StringBuffer stringBuffer = new StringBuffer();
            BufferedReader bufferedReader = null;
            try {
                URL url = new URL(path);
                HttpsURLConnection connection = null;
                connection = (HttpsURLConnection) url.openConnection();
                ((HttpsURLConnection) connection).setHostnameVerifier(new HostnameVerifier() {
                    @Override
                    public boolean verify(String hostname, SSLSession session) {
                        return true;
                    }
                });
                connection.setConnectTimeout(10*1000);
                connection.setReadTimeout(10*1000);
                bufferedReader = new BufferedReader(new InputStreamReader(connection.getInputStream()));
                String line = "";
                while ((line = bufferedReader.readLine()) != null){
                    stringBuffer.append(line);
                    if (line.equals("<head>")){
                        // 在<head>中添加<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
                        stringBuffer.append("<meta http-equiv=\"Content-Security-Policy\" content=\"upgrade-insecure-requests\">");
                    }
                }
            } catch (MalformedURLException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            }finally {
                if (bufferedReader != null){
                    try {
                        bufferedReader.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }
            }
            String mimeType = MimeTypeMap.getSingleton().getMimeTypeFromExtension(MimeTypeMap.getFileExtensionFromUrl(path));
            Map<String, String> headers = new HashMap<>();
            // 解决webView跨域问题
            headers.put("Access-Control-Allow-Origin", xxxxxx);
            headers.put("Access-Control-Allow-Headers","X-Requested-With");
            headers.put("Access-Control-Allow-Methods","POST, GET, OPTIONS, DELETE");
            headers.put("Access-Control-Allow-Credentials", "true");

            if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {
                response = new WebResourceResponse(mimeType,
                        "utf-8", 200,"OK",headers,
                        new ByteArrayInputStream(stringBuffer.toString().getBytes()));
            }
            return response;
        }
hhllnw
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
webview跨域问题解决方案
yclfdn2004的专栏
05-10 3万+
hi,all      本邮件分六部分:目的、意义、步骤、具体实现及测试办法,调研结论(3点),额外思考 一、调研目的         浏览器的同源策略阻止了跨域访问,本次调研目的就是为了解决这个问题,让客户端可跨域访问其他网站 二、意义:           1、跨域问题的解决,扩展了客户端解决缓存问题的思路,可达到完全控制缓存、较好的利用缓存的目的,从而可利用缓存达到提高H5页面
android webview 跨域解决_AppHost:大前端融合下的 Hybrid 开发解决方案
weixin_34306878的博客
12-28 737
作者 |hite,目前在网易严选iOS 组,主要工作内容 webview 相关,业余时间会写一些胡思乱想产品策划稿,各类游戏云玩家。目前移动端开发还处于一个高速发展的阶段,为了应对快速增长业务需求,移动开发需要更高迭代响应速度,从前期涌现出了以 React Native、Weex 为代表的 web 技术栈,到现在的 flutter 为代表的容器栈,这些跨度开发框架试图提高开发效率的同时...
Android WebView跨域访问漏洞
weixin_38031122的博客
02-08 3908
一、漏洞名称Android WebView存在跨域访问漏洞 二、漏洞描述       Android WebView存在跨域访问漏洞。该漏洞产生的原因是由于Android应用WebView开启了file域访问,且允许file域访问http域,未对file域的路径做严格限制所致。攻击者可以利用漏洞,远程获取APP中的所有本地敏感数据。 三、漏洞危害攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应...
解决android native包webviewwebview中的请求blocked by CORS policy
最新发布
Ranye的博客
07-05 976
其他地方搜的都不好使,我已经搜过了,我这个绝对好使
UniApp-WebView页面中的请求跨域问题
Date_Boy的博客
06-06 407
UniApp中的WebView组件可以使用本地网页和网络网页。使用本地网页的过程中,发送请求,会出现跨域问题,并且通过抓包会发现Origin请求头的值为"null"。请求示例代码// 创建xhr对象// 创建一个 PUT 请求,采用异步// 注册相关事件// 发送请求xhr.send();
安卓捕获h5时请求头X-Requested-With携带包名
Tangcutudou的博客
01-12 1026
安卓捕获h5时请求头X-Requested-With携带包名
安卓webview网页拦截静态资源
weixin_42401291的博客
10-31 779
// 假设现在需要拦截一个图片的资源并用本地资源进行替代 mWebview.setWebViewClient(new WebViewClient() { // 重写 WebViewClient 的 shouldInterceptRequest () // API 21 以下用shouldInterceptRequest(WebView view, String url) // API 21 以上用shouldInt...
android webview input=file 失效解决方案
05-24
Android开发中,Webview是一个重要的组件,它允许我们在原生应用中内嵌网页内容,提供混合式应用的用户体验。然而,在使用Webview时,有时会遇到一个问题:当HTML页面中包含`<input type="file">`用于上传文件的...
Android总结之WebView与Javascript交互(互相调用)
09-01
Android应用开发中,WebView是一个非常重要的组件,它...需要注意的是,由于安全原因,自Android 4.2版本起,`addJavascriptInterface()`不再允许跨域调用,所以在处理JavaScript与Native交互时要特别注意安全问题。
Android WebView与Html交互
05-30
Android开发中,WebView是一个非常重要的组件,它允许我们在原生应用中内嵌网页内容,实现混合式开发。本文将详细讲解如何利用Android WebView与Html进行交互,包括数据的传递和接收。 首先,我们需要了解WebView...
详解android与HTML混合开发总结
09-27
在现代移动应用开发中,Android 与 HTML 的混合开发已经成为一种常见的模式,特别是在构建功能丰富的APP时。这种混合开发方式允许开发者利用HTML5的灵活性和快速迭代特性,同时结合原生Android的优势,如访问硬件...
Android混合开发之webview的demo
01-12
总结,"Android混合开发之webview的demo"是一个基础教程,涵盖了WebView的初始化、加载网页、以及Android与JavaScript的交互。通过这个示例,开发者可以学习到如何有效地利用WebView进行混合开发,实现Android应用与...
webview跨域访问
choutuanjian7045的博客
09-14 746
在loadurl之前使用: try { if (Build.VERSION.SDK_INT >= 16) { Class<?> clazz = tbsContent.getSettings().getClass()...
webview 跨域问题
qq_30878303的博客
03-16 1018
package com.my.webviewdemo; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import android.os.Build; import android.os.Bundle; import android.app.Activity; impor
WebViewHttpHttps混合问题
jinshitou2012的专栏
05-14 4575
项目中使用到了WebView,但是网页中的图片加载不出来。将图片地址单独webview中访问图片是可以的。开始怀疑是setting设置的问题,然后把这个配置都设置了一下,还是不行。网上的大神提供了愿意:从Android5.0开始,WebView默认不支持同时加载HttpsHttp混合模式。如何解决呢:if(Build.VERSION.SDK_INT&gt;=Build.VERSION_CODES...
Android WebView存在跨域访问漏洞(CNVD-2017-36682)介绍及解决
wangxiaowu1986的博客
01-17 1441
安全公告编号:CNTA-2018-0005 2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用
android webview https ssl
10-29
Android提供了WebView控件来加载和显示Web页面。在使用WebView加载HTTPS网页时,SSL(即Secure Sockets Layer)是必需的。 SSL是一种用于在Internet上保护数据传输安全的加密协议。它确保在浏览器和服务器之间传输的数据是加密的,以防止第三方篡改或窃听数据。 要在Android WebView中使用SSL,需要采取以下步骤: 1. 配置WebView设置:在代码中,我们可以通过设置WebView的WebSettings对象来启用JavaScript和SSL,以便加载HTTPS网页。可以使用以下代码进行设置: ``` WebView webView = findViewById(R.id.webview); WebSettings webSettings = webView.getSettings(); webSettings.setJavaScriptEnabled(true); webSettings.setDomStorageEnabled(true); webSettings.setAppCacheEnabled(true); webSettings.setCacheMode(WebSettings.LOAD_DEFAULT); ``` 2. 导入SSL证书:有时候,我们需要导入服务器的SSL证书,以便WebView可以信任该服务器。可以使用以下代码导入SSL证书: ``` InputStream inputStream = getAssets().open("ssl_cert.cer"); CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509"); X509Certificate x509Certificate = (X509Certificate) certificateFactory.generateCertificate(inputStream); inputStream.close(); KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("ssl_cert", x509Certificate); String defaultAlgorithm = KeyManagerFactory.getDefaultAlgorithm(); KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(defaultAlgorithm); keyManagerFactory.init(keyStore, null); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(defaultAlgorithm); trustManagerFactory.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); webSettings.setJavaScriptCanOpenWindowsAutomatically(true); webSettings.setUseWideViewPort(true); webSettings.setBuiltInZoomControls(true); webSettings.setDisplayZoomControls(false); webSettings.setSupportZoom(true); webSettings.setAllowFileAccess(true); webSettings.setAllowContentAccess(true); webView.setWebViewClient(new WebViewClient()); webView.getSettings().setJavaScriptEnabled(true); webView.loadUrl("https://www.example.com"); ``` 通过以上步骤,我们就可以在Android WebView中加载HTTPS安全网页并保持通信的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值