1、webview状态
//激活WebView为活跃状态,能正常执行网页的响应
webView.onResume() ;
//当页面被失去焦点被切换到后台不可见状态,需要执行onPause
//通过onPause动作通知内核暂停所有的动作,比如DOM的解析、plugin的执行、JavaScript执行。
webView.onPause();
//当应用程序(存在webview)被切换到后台时,这个方法不仅仅针对当前的webview而是全局的全应用程序的webview
//它会暂停所有webview的layout,parsing,javascripttimer。降低CPU功耗。
webView.pauseTimers()
//恢复pauseTimers状态
webView.resumeTimers();
//销毁Webview
//在关闭了Activity时,如果Webview的音乐或视频,还在播放。就必须销毁Webview
//但是注意:webview调用destory时,webview仍绑定在Activity上
//这是由于自定义webview构建时传入了该Activity的context对象
//因此需要先从父容器中移除webview,然后再销毁webview:
rootLayout.removeView(webView);
webView.destroy();
//是否可以后退
Webview.canGoBack()
//后退网页
Webview.goBack()
//是否可以前进
Webview.canGoForward()
//前进网页
Webview.goForward()
//以当前的index为起始点前进或者后退到历史记录中指定的steps
//如果steps为负数则为后退,正数则为前进
Webview.goBackOrForward(intsteps)
2、清除缓存数据
//清除网页访问留下的缓存
//由于内核缓存是全局的因此这个方法不仅仅针对webview而是针对整个应用程序.
Webview.clearCache(true);
//清除当前webview访问的历史记录
//只会webview访问历史记录里的所有记录除了当前访问记录
Webview.clearHistory();
//这个api仅仅清除自动完成填充的表单数据,并不会清除WebView存储到本地的数据
Webview.clearFormData();
3、进行配置-利用WebSettings子类(常见方法)
//声明WebSettings子类
WebSettings webSettings = webView.getSettings();
//如果访问的页面中要与Javascript交互,则webview必须设置支持Javascript
webSettings.setJavaScriptEnabled(true);
//支持插件
webSettings.setPluginsEnabled(true);
//设置自适应屏幕,两者合用
webSettings.setUseWideViewPort(true); //将图片调整到适合webview的大小
webSettings.setLoadWithOverviewMode(true); // 缩放至屏幕的大小
//缩放操作
webSettings.setSupportZoom(true); //支持缩放,默认为true。是下面那个的前提。
webSettings.setBuiltInZoomControls(true); //设置内置的缩放控件。若为false,则该WebView不可缩放
webSettings.setDisplayZoomControls(false); //隐藏原生的缩放控件
//其他细节操作
webSettings.setCacheMode(WebSettings.LOAD_CACHE_ELSE_NETWORK); //关闭webview中缓存
webSettings.setAllowFileAccess(true); //设置可以访问文件
webSettings.setJavaScriptCanOpenWindowsAutomatically(true); //支持通过JS打开新窗口
webSettings.setMediaPlaybackRequiresUserGesture(false) //设置多媒体自动播放(android 4.2版本以上生效)
webSettings.setLoadsImagesAutomatically(true); //支持自动加载图片
webSettings.setDefaultTextEncodingName("utf-8");//设置编码格式
4、设置WebView缓存
webSettings.setDomStorageEnabled(true); // 开启 DOM storage API 功能
webSettings.setDatabaseEnabled(true); //开启 database storage API 功能
webSettings.setAppCacheEnabled(true);//开启 Application Caches 功能
String cacheDirPath = getFilesDir().getAbsolutePath() + APP_CACAHE_DIRNAME;
webSettings.setAppCachePath(cacheDirPath); //设置 Application Caches 缓存目录
webSettings.setAppCacheMaxSize(2010241024);//设置缓存大小
//优先使用缓存:
WebView.getSettings().setCacheMode(WebSettings.LOAD_CACHE_ELSE_NETWORK);
//缓存模式如下:
//LOAD_CACHE_ONLY: 不使用网络,只读取本地缓存数据
//LOAD_DEFAULT: (默认)根据cache-control决定是否从网络上取数据。
//LOAD_NO_CACHE: 不使用缓存,只从网络获取数据.
//LOAD_CACHE_ELSE_NETWORK,只要本地有,无论是否过期,或者no-cache,都使用缓存中的数据。
//不使用缓存:
WebView.getSettings().setCacheMode(WebSettings.LOAD_NO_CACHE);
5、WebViewClient()重载方法
重写shouldOverrideUrlLoading()方法,使得打开网页时不调用系统浏览器, 而是在本WebView中显示
重写onPageStarted()监听页面加载开始
重写onPageFinished()监听页面加载结束
重写onLoadResource()监听页面每个资源的加载
重写onReceivedError()监听处理网页404或者500的错误常用来加载本地错误页面
重写onReceivedSslError()处理https请求的,页面显示空白,需要进行如下设置:
handler.proceed(); //表示等待证书响应
// handler.cancel(); //表示挂起连接,为默认方式
// handler.handleMessage(null); //可做其他处理
6、WebChromeClient()重载方法
重写onProgressChanged()用来监听页面加载进度
重写onReceivedTitle()用来接收加载网页的标题
7、webview与js交互相关
android 调用js端方法
- 通过WebView的loadUrl("javascript:callJS()")
返回值需要在onjsAlter方法中进行处理
优缺点:调用简单,效率低,获取返回值麻烦,适用于无需返回值的场景 - 通过WebView的evaluateJavascript("javascript:callJS()", new ValueCallback
() {
@Override
public void onReceiveValue(String value) {
//此处为 js 返回的结果
}
}) 优缺点:调用较简单,效率高,但是只兼容4.4以上。能够获取返回值
需要注意js的方法回调需要在onpagefinis回调之后进行调用才能生效
js端调用android代码方法
- 通过WebView的addJavascriptInterface()进行对象映射
- 通过 WebViewClient 的shouldOverrideUrlLoading ()方法回调拦截 url
-
通过 WebChromeClient 的onJsAlert()、onJsConfirm()、onJsPrompt()方法回调拦截JS对话框alert()、confirm()、prompt() 消息
方法一、通过新建对象对对象类的方法进行加以@JavascriptInterface进行注解
例如:public class Android{
@JavascriptInterface
public void test(){
//TODO
}
}
然后调用WebView.addJavascriptInterface(new AndroidtoJs(), "aaa");在js中调用aaa.test()
方法二和方法三原理上是一样的都是需要先定义自定义的规则然后在shouldOverrideUrlLoading方法和onJsAlert()、onJsConfirm()、onJsPrompt()的方法回调中进行拦截处理
下面对js端和android端调用各个方法进行了总结
8、WebView漏洞总结
1、通过addJavascriptInterface进行对象映射后JS端能够通过遍历window内的对象拿到android的对象并能够结合java的反射机制通过.getClass().forName("java.lang.Runtime")获取到Runtime类然后
就可以调用静态方法来执行一些命令getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
解决方案
4.2之后加入@JavascriptInterface注解避免漏洞攻击
4.2之前通过拦截onjspromt方法自行维护对象映射关系并同过反射调用android的对象方法
2、searchBoxJavaBridge_,accessibility和 accessibilityTraversal 接口引起远程代码执行漏洞
解决方案
removeJavascriptInterface(searchBoxJavaBridge_)
3、WebView默认开启密码保存功能(/data/data/com.package.name/databases/webview.db)
解决方案:
WebView.setSavePassword(false)
4、域控制不严格漏洞(核心还是对file协议的操作)
解决方案:
// 需要使用 file 协议或者直接禁止file协议
setAllowFileAccess(true);
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);
// 禁止 file 协议加载 JavaScript
if (url.startsWith("file://") {
setJavaScriptEnabled(false);
} else {
setJavaScriptEnabled(true);
}