我在我的应用中使用gorbin / ASNE SDK。我最近收到了Google发来的一封电子邮件,其中包含以下主题:“Google Play警告:SSL错误处理程序漏洞”。在这封电子邮件中,Google解释说我的应用程序有[“WebViewClient.onReceivedSslError处理程序的不安全实现”]
他们建议我[“要正确处理SSL证书验证,只要服务器提供的证书符合您的期望,就更改代码以调用SslErrorHandler.proceed(),并调用SslErrorHandler.cancel()否则”]
这是我对该方法的实现:
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
handler.proceed();
}
有什么帮助吗?
答案 0 :(得分:16)
要正确处理SSL证书验证,只要服务器提供的证书符合您的期望,就更改代码以调用SslErrorHandler.proceed(),否则调用SslErrorHandler.cancel()。
例如,我添加了一个警告对话框,以便用户确认并且Google似乎不再显示警告。
@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
final AlertDialog.Builder builder = new AlertDialog.Builder(this);
String message = "SSL Certificate error.";
switch (error.getPrimaryError()) {
case SslError.SSL_UNTRUSTED:
message = "The certificate authority is not trusted.";
break;
case SslError.SSL_EXPIRED:
message = "The certificate has expired.";
break;
case SslError.SSL_IDMISMATCH:
message = "The certificate Hostname mismatch.";
break;
case SslError.SSL_NOTYETVALID:
message = "The certificate is not yet valid.";
break;
}
message += " Do you want to continue anyway?";
builder.setTitle("SSL Certificate Error");
builder.setMessage(message);
builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
@Override
public void onClick(DialogInterface dialog, int which) {
handler.proceed();
}
});
builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
@Override
public void onClick(DialogInterface dialog, int which) {
handler.cancel();
}
});
final AlertDialog dialog = builder.create();
dialog.show();
}
更改后,它不会显示警告。 Reference
答案 1 :(得分:9)
解决方案是删除onReceivedSslError
答案 2 :(得分:1)
我正在使用 backendless 库旧版本编译' com.backendless:backendless:3.0.11' 所以我更新到最新版本编译' com.backendless:backendless:3.0.24' 并解决问题。