Webview上的sslwarning的处理方式。

因为最近遇到google pay上汇报的安全漏洞问题&＃xff0c;需要处理ssl warning.

安全提醒

您的应用中 WebViewClient.onReceivedSslError 处理程序的实施方式很不安全。具体来说&＃xff0c;这种实施方式会忽略所有 SSL 证书验证错误&＃xff0c;从而使您的应用容易受到中间人攻击。攻击者可能会更改受影响的 WebView 内容、读取传输的数据&＃xff08;例如登录凭据&＃xff09;&＃xff0c;以及执行应用中使用 Javascript 的代码。

为了正确处理 SSL 证书验证&＃xff0c;请将您的代码更改为在服务器提供的证书符合您的预期时调用 SslErrorHandler.proceed()&＃xff0c;否则应调用SslErrorHandler.cancel()。系统已向您的开发者帐号地址发送了一封电子邮件提醒&＃xff0c;其中列出了受影响的应用和类。

所以查阅了相关Webview上的访问ssl协议的网址的警告处理方式。

其实大概意思就是说客户端在处理https链接返回的ssl错误的时候不要无脑的直接通过&＃xff0c;需要友好的在客户端主动弹出对话框让用户做出选择。

然后添加代码如下&＃xff1a;

public void onReceivedSslError(WebView view,final SslErrorHandler handler,SslError error) {final AlertDialog.Builder builder &＃61; new AlertDialog.Builder(WebViewActivity.this);String message &＃61; "SSL Certificate error.";switch (error.getPrimaryError()) {case SslError.SSL_UNTRUSTED:message &＃61; "The certificate authority is not trusted.";break;case SslError.SSL_EXPIRED:message &＃61; "The certificate has expired.";break;case SslError.SSL_IDMISMATCH:message &＃61; "The certificate Hostname mismatch.";break;case SslError.SSL_NOTYETVALID:message &＃61; "The certificate is not yet valid.";break;case SslError.SSL_DATE_INVALID:message &＃61; "The date of the certificate is invalid";break;case SslError.SSL_INVALID:default:message &＃61; "A generic error occurred";break;}message &＃43;&＃61; " Do you want to continue anyway?";builder.setTitle("SSL Certificate Error");builder.setMessage(message);builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {&＃64;Overridepublic void onClick(DialogInterface dialog, int which) {handler.proceed();}});builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {&＃64;Overridepublic void onClick(DialogInterface dialog, int which) {handler.cancel();}});final AlertDialog dialog &＃61; builder.create();dialog.show();}