2. 程式人生 > >webview http劫持的一點攔截 擷取host方法 matcher.group理解

webview http劫持的一點攔截 擷取host方法 matcher.group理解

阿新 發佈:2019-01-08

先來了解下常見的網路劫持:

  • dns劫持(域名劫持)
    現象就是使用者不能訪問目的網址或訪問的是假網址。

  • http劫持
    現象就是使用者訪問的看到的頁面可能是被惡意修改過的,比如常見的在底部彈出宣傳性的廣告或者直接某網站的內容。本質是在正常的資料流中插入精心設計的網路資料報文,目的是讓使用者端程式解釋“錯誤”的資料。

以前做的一款App,今天被客戶方投訴在上海地區出現了開啟網頁後接著跳轉某賭博App的appstore頁面或展示了宣傳賭博app的網頁。看了客戶方提供的視訊,發現是先展示出了目的頁面後面才發生的跳轉錯誤頁,很明顯這不是dns劫持而是http劫持了。
發生劫持的M站的確是使用的http協議,發生事故後客戶方目前已在部署ssl證書著手改為https協議(披著ssl安全協議的http)。
今天我想講的是,如果針對的是資料流中添加了跳轉惡意連結的劫持行為的話,作為webview載體方來說,還是可以稍微做一下攔截的。
記得在之前寫的文章

《h5 App通訊 輕量級方式》中就提到過這個api:

@SuppressWarnings("deprecation")
@Override
public boolean shouldOverrideUrlLoading(WebView view, String urlConection) {
if (urlConection.toLowerCase().startsWith("http:") || urlConection.toLowerCase().startsWith("https:")) {
     //TODO  host白名單限制
    webview.loadUrl(urlConection);
    return
 
 true;
  }
  return true;
}

@Override
public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
    return super.shouldOverrideUrlLoading(view, request);
}
java  擷取url中host的方法
public static  String getHost(String url){
      Pattern pattern = Pattern.compile("^http[s]?:\\/\\/(.*?)([:\\/]|$)"
 
);// 匹配的模式
      Matcher m = pattern.matcher(url);
       while (m.find()) {
            return m.group(1);
        }
        return "";
    }
在正則表示式中:
(pattern)
=》匹配pattern並獲取這一匹配。所獲取的匹配可以從產生的Matches集合得到。
.
=> 匹配除“\n”和"\r"之外的任何單個字元  
*
=> 匹配前面的子表示式任意次,等價於{0,}。
?
=> 匹配前面的子表示式零次或一次,等價於{0,1}。
注:當該字元緊跟在任何一個其他限制符(*,+,?,{n},{n,},{n,m})後面時,匹配模式是非貪婪的。非貪婪模式儘可能少地匹配所搜尋的字串,而預設的貪婪模式則儘可能多地匹配所搜尋的字串。例如,對於字串“oooo”,“o+”將盡可能多地匹配“o”,得到結果[“oooo”],而“o+?”將盡可能少地匹配“o”,得到結果 ['o', 'o', 'o', 'o']

程式碼分析:
正則表示式 "^http[s]?:\\/\\/(.*?)([:\\/]|$)"
getHost("http://www.baidu.com:8090/path?y=90&https://www1.baidu.com:8090/path?y=39&https://www2.baidu.com:8090/path?y=19")
m.group(0) 輸出 http://www.baidu.com:
m.group(1) 輸出 www.baidu.com
m.group(2) 輸出 :
根據以上我們可以看出Matcher的group方法,入參的Index的意義:
Index為0 ,代表符合匹配的整體字串
Index為1 ,代表符合第一個子匹配的字串 正則中第一個()
Index為2 ,代表符合第二個子匹配的字串 正則中第二個()

有了上面的方法後,我們就能採用一些白名單限制的措施了。
不在白名單內的話, 就直接return true 不執行webview.loadUrl。

再提供下js的寫法
let reg = /http[s]?:\/\/(.*?)([:\/]|$)/ 
let result=reg.exec(getUrl)
let whiteUrl = [ 'xx', 'xxx', 'xxx']
let flag=0;// 是否在白名單內
if(result){
    for(let i=0,l=whiteUrl.length;i<l;i++){
        if(whiteUrl[i]==result[1]){
            flag=1;
            break;
        }
    }
}

相關推薦

webview http劫持一點攔截 擷取host方法 matcher.group理解

先來了解下常見的網路劫持: dns劫持(域名劫持) 現象就是使用者不能訪問目的網址或訪問的是假網址。 http劫持 現象就是使用者訪問的看到的頁面可能是被惡意修改過的,比如常見的在底部彈出宣傳性的廣告或者直接某網站的內容。本質是在正常的資料流中插入精心設

js實現window.open不被攔截的解決方法匯總

line bsp pan 測試 ava cli class 頁面 點擊 一、問題: 今天在處理頁面ajax請求過程中,想實現請求後打開新頁面,就想到通過 js window.open 來實現,但是最終都被瀏覽器攔截了。 二、分析: 在谷歌搜索有沒有解決方法,有些說可以通過新

HTTP請求和響應2:方法(Method)

trace 行處理 診斷 ack 中間 delete nds 最優 eas 方法表明了client希望server對資源運行的動作。經常使用的方法包含:GET、HEAD、POST、PUT、TRACE、OPTIONS和DELETE,每一個server能夠實現這些方法中

每天學一點Scala之apply方法

scala apply apply方法一般什麽地方出現 此方法一般在伴生對象中實現的目的: 改變了創建伴生類實例的方式,不再通過new的方式,而是直接使用類名() 的方式,scala底層會隱式的調用apply方法package com.xej.learning.apply

Chrome調試WebView時Inspect出現空白的解決方法(使用離線包不Fan墻)

oid 調試 rom androi http 前端 一次 開發者 html5開發 起因 使用HTML5開發Android應用時,少不了調試WebView。做前端的還是習慣Chrome的開發者工具,以前都是輸入Chrome://inspect就可以調試WebView了,太方

刷新host方法

host運行輸入.輸入:ipconfig /flushdns, 回車, 即可刷新hosts文件, 使其立即生效迅雷大面積無法下載及資源被迅雷屏蔽的解決方案(windows系統):1.用記事本打開hosts文件,即 C:\Windows\System32\drivers\etc\ 下 hosts 文件 (如不會

http中get,post,put,delete方法的用法以及區別

round 歷史記錄 情況 註意 http 就是 限制 長度限制 超過 http協議是一種在網絡中進行文件傳送遵循的協議。一種無狀態的協議、http協議服務器端不跟瀏覽器端建立長久的通信連接. 建立http通信之後,服務端將文件內容傳送給瀏覽器端接收就完成一次請求。當然一個

react-native WebView 返回處理 (非回調方法可解決)

外部 log finish 既然 node div hang rec 代碼段 1.前言 項目中有些頁面內容是變更比較頻繁的,這些頁面我們會考慮用網頁來解決。 在RN項目中提供一個公用的Web頁,如果是網頁內容,就跳轉到這個界面展示。 此時會有一個問題是,網頁會有一級頁面,

使用Charles對iPhone進行Http(s)請求攔截(抓包)

ont row 參考 view 手機端 apt data clas 文件 首先準備工具 1> Charles (下載對應操作系統的安裝包進行安裝,本文使用 macOS 進行演示) 2> iPhone (本文使用SE,系統版本:iOS 10) 開始

關於UGUI不攔截射線的方法

cat cast mark 希望 ext alt text CA ntc 起因:開發遊戲,要在設置界面裏給一個設置項添加一個東西解釋這個項是幹啥的,要求鼠標移到文字上的時候顯示一個彈窗差不多的東西,見動圖,鼠標移開會消失。但是當我移動鼠標到彈窗上的時候,UGUI會發射一根射

HTTP協議中request報文請求方法和狀態響應碼

cti keep lang one com location 部分 AC url   一個HTTP請求報文由4部分組成: 請求行(request line) 請求頭部(header) 空行 請求數據   下圖給出了請求報文的一般格式:

人生苦短之HTTP協議及Requests庫的方法

資源 view 新的 path python進階 教程 區別 lock load requests庫的主要方法:requests.request()構造一個請求    requests.get()獲取HTML網頁的主要方法,對應於HTTP的GE

http request header 中的host行的作用

公網 服務 try 等於 dns 感覺 html ade body http request header 中的host行的作用 轉載:https://www.xuebuyuan.com/491841.html 小結於網絡資源: 在早期的Http 1.0版中,Http

java java中subString、split、stringTokenizer三種擷取字串方法的效能比較

面試的時候,string  基本上是必須問的知識   突然想起面試的時候曾經被人問過:都知道在大資料量情況下,使用String的split擷取字串效率很低,有想過用其他的方法替代嗎?用什麼替代?我當時的回答很斬釘截鐵:沒有。 google了一下,發現有2中替代方法,於

http快取淺析及HttpCache使用方法 [ 2.0 版本 ]

1.學習理由:合理的利用http快取在對網站效能提升有非常巨大的作用,而且十分經濟實惠 2.http快取淺析 3.如何使用HttpCache來實現http快取 http快取淺析 1.當客戶端第一次訪問網站的時候,瀏覽器是沒有快取的,所以所有的資源都是從伺服器獲取的(會將css,js,圖片)等資源快取到客戶端

Error parsing HTTP request header Larger錯誤解決方法

prop tom 緩沖區 ger connect ctp boot time conn 在tomcat裏進行配置 原因是Tomcat的header緩沖區大小不夠,只需要在server.xml中增加maxHttpHeaderSize字段即可: <Connector co

解決警告:spring mvc No mapping found for HTTP request with URI錯誤的方法

今天學習spring MVC的時候,引入了jquery。死活訪問不到,控制檯裡有個警告,然後再谷歌瀏覽器裡面發現錯誤  Failed to load resource: the server responded with a status of 404 (). Uncaught R

window.open 被攔截的處理方法

文章來自:原始碼線上https://www.shengli.me/javascript/309.html   當我們在一個 ajax 回撥中執行 window.open 方法時,新頁面會被瀏覽器攔截。 因為在 Chrome 的安全機制裡,非使用者直接觸發的 window.ope

JS擷取字串方法例項

JS擷取字串方法例項     //JS擷取字串可使用 substring()或者slice()     1 函式:substring()     定義:substring(

你可能已經被運營商http劫持

軟件 索引 憤怒 iis7 小明 代碼檢查 size 所有 caption IIS7.COM網站劫持檢測 1、檢測網站是否被劫持2、域名是否被墻3、DNS汙染檢測4、網站打開速度檢測5、網站是否被黑、被入侵、被改標題、被掛黑鏈 【深度檢測】1、可以檢測多層js劫持、圖片