我正在开发一个应用程序,在某些时候我需要检索给定URL的网站标题。以下代码执行此操作
InputStream response = null;
try {
response = new URL(urlString).openStream();
Scanner scanner = new Scanner(response);
String responseBody = scanner.useDelimiter("\\A").next();
title = responseBody.substring(responseBody.indexOf("<title>") + 7, responseBody.indexOf("</title>"));
}
catch (IOException e) {
didWeGetTitle = true;
CustomLogger.log("UrlDataExtractor: retrieveWebsiteTitleAndFavicon: Retrieve title: Error IOException. " + e,'e');
e.printStackTrace();
}
问题是对于某些网页(例如CreditCheckTotal.com),抛出了IOException。这是例外
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
据我所知,发生这种情况的原因是SSL证书不受信任。我一直在寻找解决这个问题的方法,并提出了一个建议在建立连接之前运行以下代码的帖子。
private static void trustEveryone() {
try {
HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier(){
public boolean verify(String hostname, SSLSession session) {
return true;
}});
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, new X509TrustManager[]{new X509TrustManager(){
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException {}
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException {}
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}}}, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(
context.getSocketFactory());
} catch (Exception e) { // should never happen
e.printStackTrace();
}
}
现在,从帖子中可以明显看出,这种解决方案可能会带来安全威胁,因为它创造了MIMA的可能性。现在,我的问题是,既然我上面提到的代码的唯一要点就是获取网页的标题,那么仅仅信任所有证书对我来说是一个问题吗?
答案 0 :(得分:1)
进行证书验证是为了确保您正在与正确的服务器通信,即防止中间人攻击。如果您只想获取网页标题而不转移任何敏感数据,则只要您接受获得不同内容的风险(可能导致如果一名男子处于中间攻击,则不同的头衔。