13

我最近收到了一封来自 Google 的电子邮件,主题如下:“Google Play 警告:SSL 错误处理程序漏洞”。在这封电子邮件中,Google 解释说我的应用程序有一个 ["不安全的 WebViewClient 实现。onReceivedSslError处理程序。具体来说,该实现忽略所有 SSL 证书验证错误,使您的应用程序容易受到中间人攻击。攻击者可以更改受影响的 WebView 的内容,读取传输的数据(例如登录凭据),并使用 JavaScript 在应用程序内部执行代码。"] ...................

我在我的代码中使用:

    webView.setWebViewClient(new WebViewClient() {

        @Override
        public void onReceivedError(WebView view, int errorCode, String description, String failingUrl) {}

        @Override
        public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
            handler.proceed();
        }

        @Override
        public boolean shouldOverrideUrlLoading(WebView view, String url) {
            return super.shouldOverrideUrlLoading(view, url);
        }

        @Override
        public void onPageFinished(WebView view, String url) {
            super.onPageFinished(view, url);
            // My code
        }
    });

// 我的代码

webview_ClientPost(webView, "https://secure.payu.in/_payment", mapParams.entrySet());

为什么 Google Play 会发送有关 SSL 的警告?这是我的代码问题还是 PayUMoney 问题?

4

2 回答 2

3

我希望这还为时不晚.. 警告是关于您应该通知用户将访问证书无效的页面,您不应该直接进行。

您可以实现一个警报对话框,如下所示:

@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
    final AlertDialog.Builder builder = new AlertDialog.Builder(this);
    builder.setMessage(R.string.notification_error_ssl_cert_invalid);
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.proceed();
        }
    });
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.cancel();
        }
    });
    final AlertDialog dialog = builder.create();
    dialog.show();
}

这取自此链接中的 sakiM 答案:Webview Avoid security alert from google play on implementation of onReceivedSslError

于 2016-06-14T22:26:00.217 回答
1

问题出在您的代码中。当您handler.proceed();这样调用时,它有效地消除了连接中的所有安全性。

你应该删除你的onReceivedSslError方法。默认实现将拒绝不安全的连接。

于 2016-02-10T00:29:32.810 回答