8***@qq.com
8***@qq.com
  • 发布:2018-06-14 16:10
  • 更新:2018-06-14 17:06
  • 阅读:2887

Google play WebViewClient.onReceivedSslError

分类:HBuilder

在混合开发打包apk上传谷歌市场后出现的问题。。。

警告内容:
安全提醒
您的应用中 WebViewClient.onReceivedSslError 处理程序的实施方式很不安全。具体来说,这种实施方式会忽略所有 SSL 证书验证错误,从而使您的应用容易受到中间人攻击。攻击者可能会更改受影响的 WebView 内容、读取传输的数据(例如登录凭据),以及执行应用中使用 JavaScript 的代码。
为了正确处理 SSL 证书验证,请将您的代码更改为在服务器提供的证书符合您的预期时调用 SslErrorHandler.proceed(),否则应调用SslErrorHandler.cancel()。系统已向您的开发者帐号地址发送了一封电子邮件提醒,其中列出了受影响的应用和类。
请尽快解决此漏洞并增加升级版 APK 的版本号。如需详细了解 SSL 错误处理程序,请访问开发者帮助中心以参阅相关文档。如果您有其他技术问题,请在 https://www.stackoverflow.com/questions 上发帖咨询,并使用“android-security”和“SslErrorHandler”标签。如果是您使用的第三方库导致的安全漏洞,请通知该第三方,并与其合作解决此问题。
要确认您的应用是否已正确升级,请将更新后的版本上传至 Developer Console,并在 5 小时后再回来查看。如果应用并未正确升级,系统将会显示警告。
请注意,尽管这些问题可能不会影响每个使用 WebView SSL 的应用,但您最好安装所有最新的安全补丁。如果应用包含会让用户面临入侵风险的安全漏洞,那么我们可能会将其视为危险产品(因其违反了内容政策和《开发者分发协议》第 4.4 条的规定)。
请确保您发布的所有应用都符合开发者分发协议和内容政策。如果您有任何问题或疑问,请通过 Google Play 开发者帮助中心与我们的支持团队联系。

2018-06-14 16:10 负责人:无 分享
已邀请:
8***@qq.com

8***@qq.com (作者)

Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露。如果要上传到google play 在onReceivedSslError()回调中使用handler.proceed()是无法通过审核的,这时候改为handler.cancel(),停止加载页面问题就可以了。这是google的官方说明https://support.google.com/faqs/answer/7071387

作者:李嘉泓
链接:https://www.zhihu.com/question/47660719/answer/134709164
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

该问题目前已经被锁定, 无法添加新回复