Android系統的碎片化很嚴重,並且手機日期不正確、手機根證書異常、com.google.android.webview BUG等各種原因,都會導致WebViewClient無法訪問HTTPS站點。SSL錯誤的處理方式十分關鍵,如果處理不當,可能導致中間人攻擊,黑客竊聽數據,進而引發安全事故。
嚴謹地處理onReceivedSslError尤為重要。請參考以下代碼,原理是:如果webview報告SSL錯誤,程序將會對服務器證書進行強校驗,如果服務器傳入證書的指紋(sha256)與記錄值一致,說明webview驗證過程存在缺陷(如:手機日期錯誤、根證書被刪除 等),忽略SSL錯誤;如果證書匹配失敗,表明數據通信有問題,保留阻斷。
請先點擊 這里,獲取證書的指紋(sha256),然后調整代碼中的MySSLCNSHA256數組變量。如果APP需要訪問多張證書,請在代碼中加入多個證書指紋數值。在測試代碼時,請將手機日期設置在證書有效期之前,判斷WebView是否能正常訪問HTTPS站點。
webview.setWebViewClient(new WebViewClient() {
@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
if (error.getPrimaryError() == SslError.SSL_DATE_INVALID // 日期不正確
|| error.getPrimaryError() == SslError.SSL_EXPIRED // 日期不正確
|| error.getPrimaryError() == SslError.SSL_INVALID // webview BUG
|| error.getPrimaryError() == SslError.SSL_UNTRUSTED // 根證書丟失
|| error.getPrimaryError() == SslError.SSL_IDMISMATCH // 根證書不匹配
) {
boolean check = CheckSSLCertUtil.checkMySSLCNCert(error.getCertificate());
if (check) {
handler.proceed(); // 如果證書一致,忽略錯誤
}
}
}
public class CheckSSLCertUtil {
/**
* 驗證域名證書
* @param cert
* @return
*/
public static boolean checkMySSLCNCert(SslCertificate cert) {
byte[] MySSLCNSHA256 = { 60,-37,44,-43,115,-111,-31,-28,61,105,117,-99,123,98,-87,71,-30,
58,-109,70,55,-84,-116,74,-108,64,-122,-56,-45,34,-23,12 }; //證書指紋
Bundle bundle = SslCertificate.saveState(cert);
byte[] bytes = bundle.getByteArray("x509-certificate");
if (bytes != null) {
try {
CertificateFactory cf = CertificateFactory.getInstance("X.509");
Certificate ca = cf.generateCertificate(new ByteArrayInputStream(bytes));
MessageDigest sha256 = MessageDigest.getInstance("SHA-256");
byte[] Key = sha256.digest(((X509Certificate) ca).getEncoded());
return Arrays.equals(Key, MySSLCNSHA256);
} catch (Exception Ex) {}
}
return false;
}
}