Android系統(tǒng)的碎片化很嚴重,并且手機日期不正確、手機根證書異常、com.google.android.webview BUG等各種原因,都會導(dǎo)致WebViewClient無法訪問HTTPS站點。SSL錯誤的處理方式十分關(guān)鍵,如果處理不當,可能導(dǎo)致中間人攻擊,黑客竊聽數(shù)據(jù),進而引發(fā)安全事故。
嚴謹?shù)靥幚韔nReceivedSslError尤為重要。請參考以下代碼,原理是:如果webview報告SSL錯誤,程序?qū)Ψ?wù)器證書進行強校驗,如果服務(wù)器傳入證書的指紋(sha256)與記錄值一致,說明webview驗證過程存在缺陷(如:手機日期錯誤、根證書被刪除 等),忽略SSL錯誤;如果證書匹配失敗,表明數(shù)據(jù)通信有問題,保留阻斷。
請先點擊 這里,獲取證書的指紋(sha256),然后調(diào)整代碼中的MySSLCNSHA256數(shù)組變量。如果APP需要訪問多張證書,請在代碼中加入多個證書指紋數(shù)值。在測試代碼時,請將手機日期設(shè)置在證書有效期之前,判斷WebView是否能正常訪問HTTPS站點。
webview.setWebViewClient(new WebViewClient() { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { if (error.getPrimaryError() == SslError.SSL_DATE_INVALID // 日期不正確 || error.getPrimaryError() == SslError.SSL_EXPIRED // 日期不正確 || error.getPrimaryError() == SslError.SSL_INVALID // webview BUG || error.getPrimaryError() == SslError.SSL_UNTRUSTED) { // 根證書丟失 if (chkMySSLCNCert(error.getCertificate())) { handler.proceed(); // 如果證書一致,忽略錯誤 } } } private boolean chkMySSLCNCert(SslCertificate cert) { byte[] MySSLCNSHA256 = { 35, 76, 110, -121, -68, -104, -12, 84, 39, 119, -55, 101, 95, -8, -90, 9, 36, -108, 5, -57, 76, -98, -19, -73, 91, -37, 18, 64, 32, -41, 0, 109 }; //證書指紋 Bundle bundle = SslCertificate.saveState(cert); byte[] bytes = bundle.getByteArray("x509-certificate"); if (bytes != null) { try { CertificateFactory cf = CertificateFactory.getInstance("X.509"); Certificate ca = cf.generateCertificate(new ByteArrayInputSteam(bytes)); MessageDigest sha256 = MessageDigest.getInstance("SHA-256"); byte[] Key = sha256.digest(((X509Certificate) ca).getEncoded()); return Arrays.equals(key, MySSLCNSHA256); } catch (Exception Ex) {} } return false; }}以上就是Android APP之WebView校驗SSL證書的方法,希望以后大家多多支持VEVB武林網(wǎng),建議大家繼續(xù)瀏覽下一篇文章更精彩。
新聞熱點
疑難解答
圖片精選
