webview http劫持的一点拦截 截取host方法 matcher.group理解

最新推荐文章于 2024-02-02 16:06:10 发布
最新推荐文章于 2024-02-02 16:06:10 发布
阅读量3.8k 收藏 6
点赞数
分类专栏: bug解决 文章标签: http劫持的一点拦截 截取url中host的方法 matcher.group
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012982629/article/details/80699958
版权

先来了解下常见的网络劫持:

  • dns劫持(域名劫持)
    现象就是用户不能访问目的网址或访问的是假网址。

  • http劫持
    现象就是用户访问的看到的页面可能是被恶意修改过的,比如常见的在底部弹出宣传性的广告或者直接某网站的内容。本质是在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据。

以前做的一款App,今天被客户方投诉在上海地区出现了打开网页后接着跳转某赌博App的appstore页面或展示了宣传赌博app的网页。看了客户方提供的视频,发现是先展示出了目的页面后面才发生的跳转错误页,很明显这不是dns劫持而是http劫持了。
发生劫持的M站的确是使用的http协议,发生事故后客户方目前已在部署ssl证书着手改为https协议(披着ssl安全协议的http)。
今天我想讲的是,如果针对的是数据流中添加了跳转恶意链接的劫持行为的话,作为webview载体方来说,还是可以稍微做一下拦截的。
记得在之前写的文章《h5 App通信 轻量级方式》中就提到过这个api:

@SuppressWarnings("deprecation")
@Override
public boolean shouldOverrideUrlLoading(WebView view, String urlConection) {
if (urlConection.toLowerCase().startsWith("http:") || urlConection.toLowerCase().startsWith("https:")) {
     //TODO  host白名单限制
    webview.loadUrl(urlConection);
    return true;
  }
  return true;
}

@Override
public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
    return super.shouldOverrideUrlLoading(view, request);
}
java  截取url中host的方法
public static  String getHost(String url){
      Pattern pattern = Pattern.compile("^http[s]?:\\/\\/(.*?)([:\\/]|$)");// 匹配的模式
      Matcher m = pattern.matcher(url);
       while (m.find()) {
            return m.group(1);
        }
        return "";
    }
在正则表达式中:
(pattern)
=》匹配pattern并获取这一匹配。所获取的匹配可以从产生的Matches集合得到。
.
=> 匹配除“\n”和"\r"之外的任何单个字符  
*
=> 匹配前面的子表达式任意次,等价于{0,}。
?
=> 匹配前面的子表达式零次或一次,等价于{0,1}。
注:当该字符紧跟在任何一个其他限制符(*,+,?,{n},{n,},{n,m})后面时,匹配模式是非贪婪的。非贪婪模式尽可能少地匹配所搜索的字符串,而默认的贪婪模式则尽可能多地匹配所搜索的字符串。例如,对于字符串“oooo”,“o+”将尽可能多地匹配“o”,得到结果[“oooo”],而“o+?”将尽可能少地匹配“o”,得到结果 ['o', 'o', 'o', 'o']

代码分析:
正则表达式 "^http[s]?:\\/\\/(.*?)([:\\/]|$)"
getHost("http://www.baidu.com:8090/path?y=90&https://www1.baidu.com:8090/path?y=39&https://www2.baidu.com:8090/path?y=19")
m.group(0) 输出 http://www.baidu.com:
m.group(1) 输出 www.baidu.com
m.group(2) 输出 :
根据以上我们可以看出Matcher的group方法,入参的Index的意义:
Index为0 ,代表符合匹配的整体字符串
Index为1 ,代表符合第一个子匹配的字符串 正则中第一个()
Index为2 ,代表符合第二个子匹配的字符串 正则中第二个()

有了上面的方法后,我们就能采用一些白名单限制的措施了。
不在白名单内的话, 就直接return true 不执行webview.loadUrl。

再提供下js的写法
let reg = /http[s]?:\/\/(.*?)([:\/]|$)/ 
let result=reg.exec(getUrl)
let whiteUrl = [ 'xx', 'xxx', 'xxx']
let flag=0;// 是否在白名单内
if(result){
    for(let i=0,l=whiteUrl.length;i<l;i++){
        if(whiteUrl[i]==result[1]){
            flag=1;
            break;
        }
    }
}
huch_shyh
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安卓开发】系统级APP使用webview时出错
麦克的博客
07-05 1265
如果你开发的APP是系统级的,即在AndroidManifest.xml的manifest下添加了android:sharedUserId="android.uid.system",那么你在使用webview的时候可能会出现如下错误 :Error inflating class android.webkit.WebView错误截图解决方式,在调用webview的activity或者fragment...
androidwebview 交互 之截取webviewUrl 通过key获取
weixin_39738488的博客
07-31 1143
webview拦截处(或者自己该调用的地方)调用getPhone() key=phone 为h5提供的key,根据KEY获取相应的value 重要的是URLEncodeUtils工具类,so easy了吧,代码附上; public static String getPhone(String url) { String phone = ""; try { Li...
Android拦截获取WebView内部POST请求参数的实现方法
01-05
起因: 有些时候自家APP嵌入的H5页面并不是自家的。但是很多时候又想在H5不知情的情况下获取H5内部请求的参数,这应该怎么做到呢? 带着这个疑问,就有了这篇博客。 实现过程: 方案一: 最开始想到的方案是直接拦截H5所有的请求: webView.setWebViewClient(new WebViewClient() { @Override public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) { try { URL url =
【原创】一文彻底搞懂安卓WebView白名单校验
weixin_33816946的博客
05-24 1807
前言 近两年公司端侧发现的漏洞很大一部分都出在WebView白名单上,针对这类漏洞安全编码团队也组织过多次培训,但是这种漏洞还是屡见不鲜。下面本人就结合产品容易出现问题的地方,用实例的方式来总结一下如何正确使用WebView白名单,给开发的兄弟们作为参考。 在Android SDK封装了一个可以很方便的加载、显示网页的控件,叫做WebView,全限定名为:android.webkit.WebV...
什么是HTTP劫持,有什么方案能处理
最新发布
dexunyun的博客
02-02 857
HTTP劫持HTTP Hijacking),也称为会话劫持或会话接管,是一种网络攻击技术,它通过在用户与网站之间进行间攻击,攻击者利用各种手段截获或篡改HTTP通信,以获取用户的敏感信息或执行恶意操作来达到非法目的。下面德迅云安全就带大家了解一种常见的web攻击方式-http劫持,以及相应的预防措施。7、使用安全的网络连接:选择安全的网络连接方式,在网络环境,尽量避免使用公共的、不受信任的Wi-Fi热点,可以使用安全可靠的专用网络或其他加密通道来加密通信,减少数据泄露的风险,从而保护网络安全。
android webview 跨域解决_AppHost:大前端融合下的 Hybrid 开发解决方案
weixin_34306878的博客
12-28 704
作者 |hite,目前在网易严选iOS 组,主要工作内容 webview 相关,业余时间会写一些胡思乱想产品策划稿,各类游戏云玩家。目前移动端开发还处于一个高速发展的阶段,为了应对快速增长业务需求,移动开发需要更高迭代响应速度,从前期涌现出了以 React Native、Weex 为代表的 web 技术栈,到现在的 flutter 为代表的容器栈,这些跨度开发框架试图提高开发效率的同时...
Android WebView详解
zdj_Develop的博客
04-16 5768
本文详细介绍了WebView
WebView 错误码整理
android开发笔记
05-22 6880
在使用WebView,我们不可避免的会接触到WebView加载失败的异常处理的需求,这时候,需要我们监听失败的方法也就是onReceivedError方法: public class CustomWebViewClient extends WebViewClient { @Override public void onReceivedError(WebView view, ...
androidhttpd 代理设置和webview代理设置
binyao02123202的专栏
02-27 9444
androidhttpd 代理设置和webview代理设置 在一些android上上设置httpd代理比较简单,可以通过wlan下长按对应的wifi链接点,出现修改网络配置,然后选择显示高级选项,在代理设置里面选择手动,然后出现界面可以设置代理服务器ip和端口。 网络有些说可以通过下面方式来设置,但这个毕竟面向开发人员 ? 1 2 3
android webview设置代理,java - Android WebView Proxy Settings - Stack Overflow
weixin_31541755的博客
05-28 752
Log.d(LOG_TAG, "Setting proxy with >= 4.4 API.");Context appContext = webView.getContext().getApplicationContext();System.setProperty("http.proxyHost", host);System.setProperty("http.proxyPort", po...
Androidwebview设置代理
huangwenkui1990的专栏
02-12 1万+
亲测:支持安卓9.0以下都可以正常使用 webview在loadUrl之前,调用如下函数,设置代理: public static boolean setProxy(WebView webview, String host, int port, String applicationClassName) 在关闭、或者销毁webview之前,调用如下函数,取消代理: public stati...
AndroidWebview打开网页的同时发送HTTP头信息方法
09-03
主要介绍了AndroidWebview打开网页的同时发送HTTP头信息方法,本文是讲解的是一种通过修改Referer来控制盗链的方法,需要的朋友可以参考下
实例详解Android Webview拦截ajax请求
08-28
本篇内容主要给大家讲解了Android Webview拦截ajax请求的详细讲解,需要的朋友一起来学习一下。
Android实现WebView点击拦截跳转原生
08-19
主要介绍了Android实现WebView点击拦截跳转原生,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Android webview数据获取 webview抓取
spinchao的博客
03-10 7204
总结下 Androidwebview的数据获取、抓取。 先说总结的情况 方法一:给webview setWebViewClient,然后重写shouldInterceptRequest,获取请求参数,自己发起请求,返回WebResourceResponse。 方法二:WebViewClient 的onPageFinished 方法里面注入js,来获取html 如果是自己应用很简单,如果...
Android Webview场景下防止dns劫持的探索
u012426327的专栏
11-06 8309
劫持样式: 摘要: 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景都有最佳实践,拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。 背景 阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNI、okhttp
HTML5页面被运营商DNS劫持问题及解决方案,apph5页面源码的获取
热门推荐
jia12216的专栏
10-28 2万+
App应用的html5页面经过运营商的移动网络(非wifi网络),被强制插入广告和手机管家的多余信息,在有些场景严重干扰用户的操作,也产生在美丽的页面上加入了不协调的悬浮层。并且这个手机管家类的悬浮层有时间出现,有时间不出现,神出鬼没,虽然你可以通过点击关闭,关键是突然出现,有时候还关闭不了。总之用户不喜欢这种用户不需要的选择,所以干掉它吧! 在apph5页面源码,可以通过下面代码获得,其
技术文章 | Android Webview场景下防止dns劫持的探索
CS13522431352的博客
09-14 2770
阿里云HTTPDNS是避免dns劫持的一种有效手段,在许多特殊场景如HTTPS/SNI、okhttp等都有最佳实践,但在webview场景下却一直没完美的解决方案。 拦截方案是目前已知的一种在webview上应用httpdns的可行方案,本文从拦截方案的基本原理出发,尝试分析该方案背后存在的局限,并给出一些可行性上的建议。
android webview拦截http
06-01
WebView拦截http链接,例如file://、tel://、mailto://等,可以通过重写shouldOverrideUrlLoading方法来实现。以下是示例代码: ```java webView.setWebViewClient(new WebViewClient() { @Override public boolean shouldOverrideUrlLoading(WebView view, String url) { if (url.startsWith("http") || url.startsWith("https")) { // 如果链接以httphttps开头,则继续加载链接 return false; } else { // 如果链接不是以httphttps开头,则拦截链接并处理 if (url.startsWith("tel:")) { // 如果链接以tel:开头,则打电话 Intent intent = new Intent(Intent.ACTION_DIAL, Uri.parse(url)); startActivity(intent); } else if (url.startsWith("mailto:")) { // 如果链接以mailto:开头,则发送邮件 Intent intent = new Intent(Intent.ACTION_SEND); intent.setType("message/rfc822"); intent.putExtra(Intent.EXTRA_EMAIL, new String[]{url.substring(7)}); startActivity(Intent.createChooser(intent, "Send Email")); } else if (url.startsWith("file:")) { // 如果链接以file:开头,则打开本地文件 Intent intent = new Intent(Intent.ACTION_VIEW); intent.setDataAndType(Uri.parse(url), "application/pdf"); startActivity(intent); } return true; } } }); ``` 在上面的示例,我们首先检查链接是否以httphttps开头。如果是,则继续加载链接。如果链接不是以httphttps开头,则根据链接的协议进行相应的处理。例如,如果链接以"tel:"开头,则打电话;如果链接以"mailto:"开头,则发送邮件;如果链接以"file:"开头,则打开本地文件。最后,返回true以拦截链接。 请注意,如果您需要在Android 7.0及更高版本上拦截HTTP链接,建议您使用shouldOverrideUrlLoading(WebView view, WebResourceRequest request)方法,因为shouldOverrideUrlLoading(WebView view, String url)方法在7.0及更高版本上已经过时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值