WebView:Google,我已经长大了,知道自己区分安全!!

安全 应用安全
如果你在用 Android 原生系统(Google Play 服务),在使用 WebView 加载某些网页时,一定遇到过以下的安全警告红屏。

[[258891]]

 一、前言

如果你在用 Android 原生系统(Google Play 服务),在使用 WebView 加载某些网页时,一定遇到过以下的安全警告红屏。

 

这是 WebView 的安全浏览保护策略,在 Android 8.0(API Level 26)开始的默认策略,被应用在所有 App 的 WebView 当中。

Google 会自己维护一套“不安全”网站的列表,并通过 Google Play 服务,同步到所有的设备上。当你要访问某些被标记为“不安全”的网站时,它就会以此“红屏”警告用户。

注意这是默认策略,虽然出发点是为了保护用户,但是有时候我们自己的 App 还是要有自主管控的权利。

那我们有办法在自己的 App 内,关闭此项保护吗?毕竟我的应用我做主,安不安全自己来管控。

今天就来聊聊,如何在 Android 8.0(API Level 26)中,关闭此安全保护策略。

二、什么是WebView的安全策略

自 2018 年 4 月起,随着 WebView 66 发布,Google Play 保护机制,将在 WebView 中默认开始此安全浏览策略。

而 Android 开发者在使用 WebView 时,无需再进行任何更改,即可享受此项保护服务。自 Android 8.0 开始,WebView 中即已经集成安全浏览功能,并且与 Android 版的 Chrome 采用相同的底层技术。

一旦触发 WebView 的安全机制,就会出现类似下图这样的“红屏”警告。

 

Google 会自维护一套不良网站的列表,以确保用户可以在浏览之前,发出警告。为了同步这部分列表,Google 花费了很大的努力,就是为了保护用户的安全。

三、如何控制安全策略

在 Android 8.0 及以上的设备中,WebView 的安全浏览策略,是默认生效的。

也就是说,如果我们想要使用它,我们什么额外的工作都不需要做,但是我们如果不想采用它,就需要通过一个方法将其关闭。

3.1 如何监控开启

WebView 的安全浏览,是依赖于 Google Play 和 Chrome 更新的,也就是说,虽然你的设备是 Android 8.0,但是此策略也是有可能没有生效的。

那么如何确定此功能是否生效呢?

WebView 提供了一个方法 startSafeBrowsing() 方法,来主动开启安全浏览策略,在回调中,我们可以知道当前设备是否准备好了,符合开启安全浏览的条件。

WebView.startSafeBrowsing(this, object : ValueCallback { override fun onReceiveValue(value: Boolean?) { val isOpen = value ?:false if (isOpen) { Log.i("cxmy_dev", "Safe browsing. On") } else { Log.i("cxmy_dev", "Safe browsing. Off") } }})

注意回调内的 value 可能为 null。

3.2 如何关闭安全策略

WebView 的安全策略是默认开始的,如果想要关闭它,需要通过 WebSettings 这个类,其中有 setSafeBrowsingEnabled(boolean) 方法,可以用于设置是否开启安全模式。

webSettings.safeBrowsingEnabled = false

此方法是一种全局的策略,也就是要么开启、要么关闭。

3.3 配置白名单

使用 setSafeBrowsingEnable() 方法,只能做二态的设置,要么开启要么关闭。如果我们想设置,只允许某些 Host 不经过安全策略校验,如何设置呢?

WebView 还提供了一个 setSafeBrowsingWhiteList() 的方法,用于设置一个安全策略的白名单。

var array = ArrayList()array.add("example.com")WebView.setSafeBrowsingWhitelist(array, object : ValueCallback { override fun onReceiveValue(value: Boolean?) { }})

setSafeBrowsingWhiteList() 方法很灵活,可以通过配置指定域名及其子域名,或者仅此域名不包含其子域名。还可以直接配置 IP 地址,支持 IPV4 和 IPV6。

 

四、小结时刻

今天我们聊到如何关闭 WebView 的安全浏览策略,本文涉及的 API,全部仅支持 API Level 27,使用的时候注意判断。

当然,WebView 的安全浏览是有必要的,所以如果你的域名被 Google 误认为是危险链接,可以通过申述的方式解封。申述地址(https://support.google.com/chrome/answer/99020)。

references:https://security.googleblog.com/2015/12/protecting-hundreds-of-millions-more.html

https://developer.android.com/reference/android/webkit/WebView.html

https://www.google.com/chrome/privacy/whitepaper.html

【本文为51CTO专栏作者“张旸”的原创稿件,转载请通过微信公众号联系作者获取授权】

 

戳这里,看该作者更多好文

责任编辑:武晓燕 来源: 51CTO专栏
相关推荐

2012-05-08 16:07:38

Android

2010-03-25 16:08:19

2009-09-03 17:54:01

Google Wave

2012-07-25 09:56:52

编程程序员

2013-01-24 11:15:58

IE10浏览器

2016-09-07 12:44:43

2022-02-21 12:29:01

for循环前端

2021-05-10 07:30:33

Google技术谷歌

2020-05-25 08:45:08

面试Google简历

2011-08-31 08:41:07

Java高斯林

2021-04-12 15:26:35

PythonPycharm快捷键

2023-01-02 10:08:42

StampedLocAQS框架

2015-08-11 09:51:06

谷歌重组Alphabet

2015-11-17 09:47:32

代码写下去

2021-12-31 18:24:45

ThreadLocal数据库对象

2015-11-16 09:04:19

写代码程序员年龄

2023-06-06 07:41:00

Reacthook

2018-05-03 06:56:43

项目经理代码项目管理

2018-05-10 08:55:51

2011-05-24 09:05:15

Java诞生
点赞
收藏

51CTO技术栈公众号