j***@163.com

发布：2026-04-24 11:38
更新：2026-04-24 11:40
阅读：13

【报Bug】DCloud SDK WebView onReceivedSslError 仍调用 proceed，导致安全扫描 ISLSY-51192.9 不通过

分类：uni-app

bug反馈

产品分类： uniapp/App

PC开发环境操作系统： Mac

PC开发环境操作系统版本号： macOS 26.2 (25C56)

HBuilderX类型：正式

HBuilderX版本号： 5.07

手机系统： Android

手机系统版本号： Android 15

手机厂商：小米

手机机型：小米14 ultra

页面类型： vue

vue版本： vue3

打包方式：云端

项目创建方式： HBuilderX

操作步骤：

使用 HBuilderX 4.87 正式版。
uni-app 项目，发布方式选择 Android 云打包。
打包成功后获取 APK。
使用 jadx / apktool 反编译 APK。
搜索 onReceivedSslError 和 proceed。
可定位到：
io/dcloud/sdk/activity/WebViewActivity.java
io/dcloud/sdk/base/dcloud/d.java

预期结果：

期望结果
DCloud 云打包生成的 Android APK 中，
onReceivedSslError 遇到 SSL 证书错误时应执行 SslErrorHandler.cancel()，
或者提供官方可配置方式覆盖该逻辑，
而不是在 SDK 中保留 proceed()。

已尝试的配置**
项目侧已完成以下配置，但无法覆盖该 SDK 内部逻辑：

manifest.json 中已配置：
"ssl": {
"untrustedca": "refuse"
}
已配置 Android 网络安全策略，禁止明文流量。
已确认这不是业务页面代码自定义 WebViewClient 导致，而是 APK 内 io.dcloud.sdk.* 运行时代码。

实际结果：

当前云打包生成的 APK 反编译后，仍能看到类似逻辑：

public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) {
...
sslErrorHandler.proceed();
}

bug描述：

问题描述

使用 HBuilderX 4.87 正式版对 uni-app 项目进行 Android 云打包后，
对生成 APK 进行反编译检查，发现 DCloud SDK 中仍存在 WebView SSL 错误处理逻辑：

onReceivedSslError -> proceed

定位到的反编译文件如下：


io/dcloud/sdk/activity/WebViewActivity.java  
io/dcloud/sdk/base/dcloud/d.java  

这会导致安全扫描命中 ISLSY-51192.9 WebView SSL 错误处理。  
**

2026-04-24 11:38 负责人:无分享

1 个回复

Ask小助手 - Ask社区AI助手

欢迎到专业群（ uni-app 官方技术交流群 1 ）咨询，群中有相关专业的管理员和群友。

作为DCloud官方人员，对这个bug反馈进行评审如下：

一、反馈质量评价

这是一个高质量的安全类bug反馈，具备以下优点：

完整性良好

提供了明确的安全扫描错误代码（ISLSY-51192.9）
给出了具体的类文件路径（io/dcloud/sdk/activity/WebViewActivity.java等）
详细描述了已尝试的配置（manifest.json中ssl配置、网络安全策略等），排除了业务代码干扰

复现步骤清晰

版本信息明确（Android云打包、HBuilderX 4.87）
反编译工具和方法具体（jadx/apktool）
搜索关键词明确

对比充分

明确区分了预期行为（cancel()或提供配置）与实际行为（proceed()）
已排除自身配置问题，指向SDK内部逻辑

需补充的信息

版本号存在矛盾：标题和复现步骤中提到HBuilderX 4.87，但"PC开发环境"部分填写的版本号是5.07，请确认实际使用的版本
建议补充：安全扫描平台的完整报告（腾讯云/百度云/爱加密等）、APK样本

二、技术评审结论

根据现有知识库检索，暂未找到关于onReceivedSslError处理逻辑的具体技术文档或修复记录。

从知识库app-sec-android相关内容可知，安全扫描报告的漏洞风险需要具体分析：

部分安全平台会将所有可能的漏洞风险列出，可能存在误报或夸大隐患的情况
建议首先使用APK加固（推荐uni安全加固）提升整体安全性

三、建议处理方案

由于知识库中暂无此特定SSL错误处理的配置方案或修复记录，建议：

在官方论坛ask提交详细反馈
- 添加话题标签："安全漏洞"、"安全检测"
- 上传完整的安全检测报告（包含ISLSY-51192.9的详细描述）
- 提供检测用的APK文件
临时缓解措施
参考知识库安全加固建议，使用uni安全加固对APK进行加固，可能有助于通过安全扫描。
版本确认
请确认实际使用的HBuilderX版本（4.87或5.07），如使用的是5.07 Alpha版本，建议关注后续5.08版本的更新日志。

注：知识库中暂未收录关于onReceivedSslError内部处理逻辑可配置化的相关文档，无法确认当前是否支持通过manifest.json完全覆盖该SDK内部行为。

内容为 AI 生成，仅供参考

要回复问题请先登录或注册

【报Bug】DCloud SDK WebView onReceivedSslError 仍调用 proceed，导致安全扫描 ISLSY-51192.9 不通过

实际结果：

当前云打包生成的 APK 反编译后，仍能看到类似逻辑：

public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) {
...
sslErrorHandler.proceed();
}

bug描述：

问题描述

1 个回复

一、反馈质量评价

二、技术评审结论

三、建议处理方案

公告

相关问题

【报Bug】DCloud SDK WebView onReceivedSslError 仍调用 proceed，导致安全扫描 ISLSY-51192.9 不通过

实际结果： 当前云打包生成的 APK 反编译后，仍能看到类似逻辑： public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) { ... sslErrorHandler.proceed(); }

bug描述：

问题描述

与内容相关的链接

1 个回复

一、反馈质量评价

二、技术评审结论

三、建议处理方案

公告

相关问题

实际结果：

当前云打包生成的 APK 反编译后，仍能看到类似逻辑：

public void onReceivedSslError(WebView webView, SslErrorHandler sslErrorHandler, SslError sslError) {
...
sslErrorHandler.proceed();
}