Question

我最近收到了来自Google的电子邮件，内容如下：＆＃34; Google Play警告：SSL错误处理程序漏洞＆＃34;。在这封电子邮件中，Google解释说我的应用程序有[＆＃34;不安全的WebViewClient实现。 onReceivedSslError 处理程序。具体来说，该实现忽略了所有SSL证书验证错误，使您的应用程序容易受到中间人攻击。攻击者可以更改受影响的WebView内容，读取传输的数据（例如登录凭据），并使用JavaScript在应用程序内执行代码。＆＃34;] ....................

我在我的代码中使用：

    webView.setWebViewClient(new WebViewClient() {

        @Override
        public void onReceivedError(WebView view, int errorCode, String description, String failingUrl) {}

        @Override
        public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
            handler.proceed();
        }

        @Override
        public boolean shouldOverrideUrlLoading(WebView view, String url) {
            return super.shouldOverrideUrlLoading(view, url);
        }

        @Override
        public void onPageFinished(WebView view, String url) {
            super.onPageFinished(view, url);
            // My code
        }
    });

//我的代码

webview_ClientPost(webView, "https://secure.payu.in/_payment", mapParams.entrySet());

为什么Google会发送有关SSL的警告？这是我的代码问题还是PayUMoney问题？

Answer 1

我希望对此并不太晚..警告是关于你应该通知用户进入无效证书的页面，你不应该直接进行。

你可以建立一个类似这样的警告对话框：

@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
    final AlertDialog.Builder builder = new AlertDialog.Builder(this);
    builder.setMessage(R.string.notification_error_ssl_cert_invalid);
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.proceed();
        }
    });
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.cancel();
        }
    });
    final AlertDialog dialog = builder.create();
    dialog.show();
}

这取自此链接中的sakiM答案：Webview avoid security alert from google play upon implementation of onReceivedSslError

Answer 2

问题在于您的代码。当您像这样呼叫handler.proceed();时，它会有效地从您的连接中删除所有安全保护。

您应该删除onReceivedSslError方法。默认实现将拒绝不安全的连接。

Google Play警告：WebViewClient.onReceivedSslError处理程序

2 个答案: