android Google Play警告:SSL错误处理程序漏洞
我在我的应用程序中使用gorbin/ASNE SDK。我最近收到一封来自谷歌的电子邮件,主题是:“谷歌播放警告:SSL错误处理程序漏洞”。在这封电子邮件中,谷歌解释说我的应用程序有一个[“WebViewClient.OnReceivedSlerror处理程序的不安全实现”] 他们建议我[“要正确处理SSL证书验证,请将代码更改为在服务器提供的证书满足您的期望时调用SslErrorHandler.continue(),否则调用SslErrorHandler.cancel()”] 下面是我对该方法的实现:android Google Play警告:SSL错误处理程序漏洞,android,ssl,google-play,android-security,Android,Ssl,Google Play,Android Security,我在我的应用程序中使用gorbin/ASNE SDK。我最近收到一封来自谷歌的电子邮件,主题是:“谷歌播放警告:SSL错误处理程序漏洞”。在这封电子邮件中,谷歌解释说我的应用程序有一个[“WebViewClient.OnReceivedSlerror处理程序的不安全实现”] 他们建议我[“要正确处理SSL证书验证,请将代码更改为在服务器提供的证书满足您的期望时调用SslErrorHandler.continue(),否则调用SslErrorHandler.cancel()”] 下面是我对该方法的
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
handler.proceed();
}
请提供帮助?解决方案是删除OnReceivedSlerRor要正确处理SSL证书验证,请将代码更改为调用
SslErrorHandler.continue()
,只要服务器提供的证书满足您的期望,就调用SslErrorHandler.cancel()
例如,我添加了一个警告对话框,让用户确认,谷歌似乎不再显示警告
@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
final AlertDialog.Builder builder = new AlertDialog.Builder(this);
String message = "SSL Certificate error.";
switch (error.getPrimaryError()) {
case SslError.SSL_UNTRUSTED:
message = "The certificate authority is not trusted.";
break;
case SslError.SSL_EXPIRED:
message = "The certificate has expired.";
break;
case SslError.SSL_IDMISMATCH:
message = "The certificate Hostname mismatch.";
break;
case SslError.SSL_NOTYETVALID:
message = "The certificate is not yet valid.";
break;
}
message += " Do you want to continue anyway?";
builder.setTitle("SSL Certificate Error");
builder.setMessage(message);
builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
@Override
public void onClick(DialogInterface dialog, int which) {
handler.proceed();
}
});
builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
@Override
public void onClick(DialogInterface dialog, int which) {
handler.cancel();
}
});
final AlertDialog dialog = builder.create();
dialog.show();
}
此更改后,将不会显示警告 我使用的是backhandle库旧版本编译'com.backhandle:backhandle:3.0.11',所以我更新到最新版本编译'com.backhandle:backhandle:3.0.24'并解决了问题。有很多类似的问题,请。我随后执行了此提交:。但是如果网站ssl证书有问题,您的Web视图将不会显示任何内容。不建议向用户显示任何内容或警告应用程序不要向用户提示SSL错误,因为用户不太可能做出明智的安全决策,并且WebView不提供任何用于以有意义的方式显示错误详细信息的UI。