WebView域名劫持问题以及自签名证书验证方式

最新推荐文章于 2023-02-02 10:08:23 发布
置顶 最新推荐文章于 2023-02-02 10:08:23 发布
阅读量1.7k 收藏 1
点赞数 1
文章标签: 域名劫持  跨平台开发   android校验自签名证书  android校验自签名证书 WebView
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxu841911548/article/details/89001851
版权

一,背景介绍

WebView尽管有着各种各样的问题,但是至今为止很多前端页面加载到客户端还是要依靠WebView去加载,WebView加载的链接可以是不安全不需要经过证书认证的http,ws协议的域名,当然为了数据的安全性,大部分网页还是会采取https和wss协议的域名,在使用https或wss协议的域名过程中,就会出现域名劫持问题,导致用户无法正常访问,客户端会在Webview的回调函数中收到sslError,一般来说这时候我们会向服务器验证证书的合法性,也就是自签名证书的验证,验证通过可以忽略证书错误,验证不通过弹窗提示用户证书错误。举个例子,新疆地区有一些域名就会被拦截,这些域名可能在其他地区是正常的,导致用户无法正常查看网页。

二,https,wss与ssl的关系

1.https和wss都是基于ssl的加密安全协议
2.SSL(Secure Socket Layer,安全套接层) 简单来说是一种加密技术, 通过它, 我们可以在通信的双方上建立一个安全的通信链路, 因此数据交互的双方可以安全地通信, 而不需要担心数据被窃取。
3.总的来说,SSL就是基础,在SSL上运行Websocket就是WSS,在SSL上运行http就是https。

三,域名劫持的解决方案?

1.既然域名被劫持了,那我直接更换域名就ok了。更换的方式有2种,第一种是服务端全部更换,这样做是不好的,因为正常地区这个域名是未被劫持的,更好的方案是根据ip或者location下发被劫持域名和替换域名对应关系的配置进行域名替换。
2.如何替换呢?在loadUrl的时候就要根据拉取的配置是否需要替换域名,另外在WebView的shouldInterceptRequest回调函数中拦截页面的子请求,拉取服务器配置判断是否要替换域名,并且替换后的域名也要注入自签名证书。
3.收到sslError后再次向服务器发送一个请求,校验证书的合法性,校验通过则忽略证书错误,校验不通过则显示证书错误的对话框。
4.更简单直接的方案是前端同学去修改,直接更改所有请求方式通过前端与本地之前的桥走本地代发,这时候本地网络请求的代码肯定携带了自签名的证书,这时候网页内的请求也携带了自签名的证书。

四,校验自签名证书的原理和关键代码

1.需要拦截处理的位置。

//1.加载网页时需要判断是否替换url的域名
public void loadUrl(String url) {
    }

//2.WebViewClient中需要处理的函数
private WebViewClient webViewClient = new WebViewClient() {
      
      @Nullable
        @Override
        public WebResourceResponse shouldInterceptRequest(WebView view, String url) {
            //交给webview自己处理时,需要替换拦截后的域名
            String interceptUrl = getInterceptUrl(url);
            return super.shouldInterceptRequest(view, interceptUrl);
        }

        @RequiresApi(api = Build.VERSION_CODES.LOLLIPOP)
        @Nullable
        @Override
        public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) {
            //交给webview自己处理时,需要替换拦截后的域名
            String interceptUrl = getInterceptUrl(request.getUrl().toString());
            return super.shouldInterceptRequest(view, interceptUrl);
        }
        @Override
        public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
           //收到sslError后需要向服务器发一个请求再次校验证书的合法性,校验成功忽略证书错误,校验失败则取消
           //忽略证书错误
           handler.proceed();
           //取消
           handler.cancel();
        }
    };

2.使用Okhttp校验自签名证书的方式

	//获取OkhttpClient,getCustomSSL()是获取ssl证书的函数
	private static OkHttpClient getInterceptClient() {
        if (interceptClient == null) {
            try {
                OkHttpClient.Builder builder = getOkHttpClientBuilder();
                builder.sslSocketFactory(getCustomSSL()).followRedirects(false);
                interceptClient = builder.build();
            } catch (Throwable thr) {
                thr.printStackTrace();
            }
        }
        return interceptClient;
    }
    
	//获取SSLSocketFactory
 	private static SSLSocketFactory getCustomSSL() throws IOException {
        if (customSSL != null) {
            return customSSL;
        }
        String caFilename = "xxxCA.der";
        InputStream caInput = new BufferedInputStream(RefereeService.getInstance().getContext().getAssets().open(caFilename));
        InputStream[] cas = {caInput};
        customSSL = getSslSocketFactory(cas, null, null);
        return customSSL;
    }
	//根据证书密码等获取SSLSocketFactory
 	 public static SSLSocketFactory getSslSocketFactory(InputStream[] certificates, InputStream bksFile, String password) {
        try {
            KeyManager[] keyManagers = prepareKeyManager(bksFile, password);
            TrustManager[] trustManagers = prepareTrustManager(certificates);
            SSLContext sslContext = SSLContext.getInstance("TLS");
            TrustManager trustManager;
            if (trustManagers != null) {
                trustManager = new MyTrustManager(chooseTrustManager(trustManagers));
            } else {
                trustManager = new UnSafeTrustManager();
            }
            sslContext.init(keyManagers, new TrustManager[]{trustManager}, new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (NoSuchAlgorithmException e) {
            throw new AssertionError(e);
        } catch (KeyManagementException e) {
            throw new AssertionError(e);
        } catch (KeyStoreException e) {
            throw new AssertionError(e);
        }
    }
    
	//准备KeyManager
	private static KeyManager[] prepareKeyManager(InputStream bksFile, String password) {
        try {
            if (bksFile == null || password == null) return null;
            KeyStore clientKeyStore = KeyStore.getInstance("BKS");
            clientKeyStore.load(bksFile, password.toCharArray());
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            keyManagerFactory.init(clientKeyStore, password.toCharArray());
            return keyManagerFactory.getKeyManagers();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (UnrecoverableKeyException e) {
            e.printStackTrace();
        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
 	 //准备证书信任的Manager
  	private static TrustManager[] prepareTrustManager(InputStream... certificates) {
        if (certificates == null || certificates.length <= 0) return null;
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null);
            int index = 0;
            for (InputStream certificate : certificates) {
                String certificateAlias = Integer.toString(index++);
                keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
                try {
                    if (certificate != null) certificate.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            TrustManagerFactory trustManagerFactory;
            trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(keyStore);
            return trustManagerFactory.getTrustManagers();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
	private static X509TrustManager chooseTrustManager(TrustManager[] trustManagers) {
        for (TrustManager trustManager : trustManagers) {
            if (trustManager instanceof X509TrustManager) {
                return (X509TrustManager) trustManager;
            }
        }
        return null;
    }

    private static class UnSafeTrustManager implements X509TrustManager {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[]{};
        }
    }

    private static class MyTrustManager implements X509TrustManager {
        private X509TrustManager defaultTrustManager;
        private X509TrustManager localTrustManager;

        public MyTrustManager(X509TrustManager localTrustManager) throws NoSuchAlgorithmException, KeyStoreException {
            TrustManagerFactory var4 = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            var4.init((KeyStore) null);
            defaultTrustManager = chooseTrustManager(var4.getTrustManagers());
            this.localTrustManager = localTrustManager;
        }

        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            try {
                defaultTrustManager.checkServerTrusted(chain, authType);
            } catch (CertificateException ce) {
                localTrustManager.checkServerTrusted(chain, authType);
            }
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[0];
        }
    }

3.校验自签名证书安全的方案其实本质上就是SSL加密与解密的过程,要想深刻理解还需要看一下SSL的实现方式。

五,总结

1.WebView是一个很大的方向,目前也是一个很成熟的控件。其实前端跨平台的方案还有weex,lua,flutter等等,万变不离其宗,这些跨平台方案目前能满足大多数的性能要求,如果对性能要求更高的话还是要原生去实现,出现问题时可以使用google浏览器提供的google://inspect工具去调试。
2.跨平台开发的另一个方向其实是NDK,也就是编译C,C++代码来达到数据的安全性和更高的性能要求,后续会写一篇文章详细介绍NDK编程相关的知识。

本人所学知识有限,如有描述不合理出请指正,如有问题也可以给本人发邮件,邮箱地址:841911548@qq.com

沉睡的雄狮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决video标签在安卓webview下无法自动播放问题
09-04
Android平台上,Web开发人员经常会遇到一个问题,那就是`<video>`标签在WebView中无法自动播放。这主要是由于Android系统的安全性和用户体验考虑,防止媒体内容在未经用户交互的情况下自动播放,可能会消耗流量或...
Flutter项目webview加载没有HTTPS证书的网页在Android和iOS设备上无法显示的解决方案
he先森的博客
05-21 2580
Flutter项目使用谷歌官方webviewwebview_flutter,加载自签名证书证书失效、无证书等HTTPS网页地址时,在Android或pc浏览器中提示证书失效,在iOS设备上为空白页,为了加载自签名证书的网页,需要饶过iOS上的webview控件HTTPS证书校验
android webview单向认证,androidwebview支持自签名证书https 双向认证(SSL)
weixin_35045973的博客
05-26 770
最近完成一个项目,安全级别比较高。所以涉及到https双向认证,在网上找了很多资料都没有完美的解决方案。最后参考了org.sandrob.sslexample的实现方式,结合实际情况才完成该技术难题,现在分享一下我的实现方案来弥补这方面的空白。正文:1.android 4.0(不包含)以下版本的实现方法:1.1 书写认证private SSLContext createSSLContext() {...
1.5、Webview SSL 自签名安全校验解决方案
lanxuan1993的博客
04-26 987
​​​​​​Android Webview SSL 自签名安全校验解决方案 - 走看看 Android APP之WebView校验SSL证书的方法 - 云+社区 - 腾讯云 android webview 添加证书,Android webview手动校验https证书(by 星空武哥)_陈舟医生的博客-CSDN博客 WebView域名劫持问题以及自签名证书验证方式_沉睡的雄狮的博客-CSDN博客 Android WebView https白屏、Http和Https混合问题证书配置和使用_一只农民.
Android webview在https下实现ssl的双向认证
zx的博客
12-02 4412
这篇文章的重点是实现SSL证书双向认证,包含: a.生成客户端与服务端证书。 b.搭建支持Https的服务器。 c.实现webview的双向证书认证
“CAS无法使用在试图完成你的请求时出错,请通知你的技术支持或重试”问题的解决
qq_51978639的博客
02-02 4700
建议关闭所有浏览器后,清除浏览器缓存。再重新打开一个界面登录。 是由于项目启动时Tomcat重复启动了好几个导致的,只留一个就行。
webview http劫持的一点拦截 截取host方法 matcher.group理解
huch的博客
06-15 3867
先来了解下常见的网络劫持: dns劫持域名劫持) 现象就是用户不能访问目的网址或访问的是假网址。 http劫持 现象就是用户访问的看到的页面可能是被恶意修改过的,比如常见的在底部弹出宣传性的广告或者直接某网站的内容。本质是在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据。 以前做的一款App,今天被客户方投诉在上海地区出现了打开网页后接着跳转某赌博Ap...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 896
概述WebView中安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android APP之WebView校验SSL证书的方法
08-29
在处理SSL错误时,需要对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明WebView验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;如果证书匹配失败,表明数据...
Android webview手动校验https证书(by 星空武哥)
08-29
Webview加载HTTPS地址时,如果遇到证书问题,系统会调用`onReceivedSslError()`方法。默认情况下,`super.onReceivedSslError()`会取消加载,使得页面呈现白屏。开发者可以覆盖此方法并调用`handler.proceed()`来...
android ssl证书验证
11-15
本文将深入探讨Android中的SSL证书验证过程、遇到的问题以及解决方案。 首先,理解SSL证书的基本结构和作用至关重要。SSL证书通常由受信任的证书颁发机构(CA)签署,包含了公钥和一些身份信息,如域名、组织名等。...
androidwebview定位问题示例详解
08-28
AndroidWebView 定位问题示例详解 AndroidWebView 定位问题是一个常见的问题,在 Android 开发中经常遇到。今天,我们来详细解释这个问题,并提供解决方案。 获取权限 在 Android 6.0 及更高版本中,需要...
AndroidWebView常见问题及解决方案汇总
09-01
然而,在实际使用中,WebView会遇到一系列问题,以下是一些常见的问题以及相应的解决方案。 1. 自定义错误显示界面: 当WebView加载网页失败时,系统默认会显示一个简单的错误页面。为了提供更好的用户体验,...
Webview如何触发onReceivedLoginRequest;Webview怎么实现自动登录
01-03
1、自己写一个app集成Webview,同时需要打开Android的调试模式,调试方式如下: Chrome调试android设备 2、WebView启动链接https://www.mi.com/ 会看到如下页面: 3、触发小米商城登录 4、使用chrome监听登录页的...
Android Webview重定向问题解决方法
08-27
这篇文章将详细讲解如何解决Android WebView的重定向问题。 首先,理解重定向问题的本质是关键。在网页浏览过程中,当用户点击一个链接或服务器返回特定的HTTP状态码(如3xx系列)时,浏览器通常会自动执行重定向...
android webview post 劫持,android – 在WebView中拦截POST请求
weixin_39801202的博客
05-26 416
我正在开发一个Android应用程序过滤请求(使用白名单)和使用自定义SSLSocketFactory。为此,我开发了一个自定义的WebViewClient,我已经覆盖了shouldInterceptRequest方法。我可以过滤和使用我的SocketFactory与GET请求,但我不能拦截POST请求。那么,有没有办法拦截WebView中的POST请求?这里是shouldInterceptReq...
androidwebView的https证书校验以及基于okhttp的接口https证书校验
答:略
03-11 1336
通过chrome浏览器拿到证书cer文件 获取证书公钥 public void readX509CerFile() { try { InputStream inStream = getAssets().open("ccc.cer"); // 创建X509工厂类 CertificateFactory cf = CertificateFactory.getInstance("X.509");
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2693
Android中使用Webview SSL 自签名证书校验
Android Webview场景下防止dns劫持的探索
weixin_33881041的博客
09-13 694
背景 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNI、okhttp等都有最佳实践,但在webview场景下却一直没完美的解决方案。 拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。 基本原理 拦截方案是指通...
android webview post 劫持,WebView进行post请求
最新发布
06-09
对于 Android WebView 进行 POST 请求时,可以通过以下步骤来防止劫持: 1. 设置 WebView 的 Cookie,以保证登录状态的正确性。 2. 在进行 POST 请求时,对请求的数据进行加密处理,防止数据被篡改。 3. 在请求头中添加 Referer 字段,以防止来自非法网站的请求。 以下是一个示例代码: ``` String postData = "username=test&password=123456"; String url = "https://example.com/login"; byte[] postDataBytes = postData.getBytes("UTF-8"); WebSettings webSettings = webView.getSettings(); webSettings.setJavaScriptEnabled(true); webSettings.setCacheMode(WebSettings.LOAD_NO_CACHE); webView.setWebViewClient(new WebViewClient() { @Override public void onPageFinished(WebView view, String url) { super.onPageFinished(view, url); // 在页面加载完成后进行 POST 请求 if (url.equals("https://example.com/login")) { Map<String, String> headers = new HashMap<>(); headers.put("Referer", "https://example.com/"); view.postUrl(url, postDataBytes, headers); } } }); webView.loadUrl("https://example.com/"); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值