Android中Https通信实现_忽略证书校验

最新推荐文章于 2025-06-24 11:15:22 发布
最新推荐文章于 2025-06-24 11:15:22 发布
阅读量5.9k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络通信 文章标签: Http Https android 网络通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010982507/article/details/85258477
本文详细介绍了在Android中实现HTTPS通信时如何忽略证书校验,包括使用HttpURLConnection、OkHttp和Webview的信任所有证书设置。同时,文章强调了忽略证书校验可能带来的中间人攻击风险,并提供了相关代码示例和错误处理方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

客户端与服务端忽略证书校验即是在客户端的网络请求和webview中设置信任所有证书,然后在与服务端进行Https网络通信的时候,客户端不必进行证书校验也能进行网络通信,否则就会报证书不受信异常。
缺陷:容易受到中间人攻击。

概览

  • TrustManager和HostnameVerifier
  • HttpURLConnection信任所有证书
  • OkHttp信任所有证书
  • webview信任所有证书

X509TrustManagerHostnameVerifier

X509TrustManager用于实现SSL证书的安全校验,若使用不当,将导致APP对SSL证书不作校验,从而 黑客有了中间人攻击的可乘之机。开发者常见错误:

  • 自定义X509TrustManager,且不做任何校验逻辑,一般为空实现;

HostnameVerifier用于实现HTTPS通信中的域名安全校验,即验证当前连接的HTTPS站点的SSL证书中的域名是否等于站点本身的域名。开发者常见错误:

  • 自定义HostnameVerifier,且不做任何校验逻辑,一般为return true;
  • 使用Android系统中自带的不安全的HostnameVerifier,效果等同于不做任何校验逻辑:
    org.apache.http.conn.ssl.AllowAllHostnameVerifier
    org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER

工具类下载地址:https://download.youkuaiyun.com/download/u010982507/10880268

import java.security.SecureRandom;
import java.security.cert.X509Certificate;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

public class SSLSocketClient {
   
   

    //获取这个SSLSocketFactory
    public static SSLSocketFactory getSSLSocketFactory() {
   
   
        try {
   
   
            SSLContext sslContext = SSLContext.getInstance
最低0.47元/天 解锁文章

200万优质内容无限畅学
一文读懂 HTTPSHTTPS握手与TLS证书校验
bjxiaxueliang的CODING茶馆
06-23 2612
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,了解Https的握手过程,都好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
Android okhttp3.0忽略https证书的方法
01-20
最近公司项目需要,网络协议支持https,之前接触多,所以这次想总结一下httpsandroid开发中的相关内容 一、https证书 对于https证书的概念,大家可以自行搜索百度。 证书分两种: 1、花钱向认证机构购买的证书,(我们公司买的证书一个就需要4000元,TMD,还如多租一台服务器)。服务器如果使用了此类证书的话,那对于移动端来说,直接可以忽略证书,直接用https访问。与之同的是ios内置了很多信任的证书,所以他们需要做任何操作 2、另一种是自己制作的证书,使用此类证书的话是受信任的,也需要花钱,所以需要我们在代码中将此类证书设置为信任证书 二、如何忽略证书 1
okhttp3.0忽略https证书
热门推荐
Anonymous
06-14 4万+
最近公司项目需要,网络协议支持https
HTTPSAndroid中的实现与应用
最新发布
weixin_29215509的博客
06-24 916
HTTPS(全称:HyperText Transfer Protocol Secure),即超文本传输安全协议,是HTTP的加密版本。它在HTTP的基础上通过SSL/TLS协议提供数据加密、身份验证和数据完整性保护,确保传输过程中数据被窃听、篡改或伪造。安全套接层(Secure Sockets Layer,SSL)是网景公司于1994年发布的一种安全协议,目的是保护网络通信过程中的数据传输安全。
Android Okhttp3.0及其以上版本忽略https证书(就是信任所有证书
UrasakiNakajima的博客
05-17 3477
一开始工作做项目的时候,在小公司,都是使用http协议进行开发,后来来了大公司之后,发现他们用的https协议,但是Android使用https协议一般需要配置证书,经探索发现可以忽略https证书进行开发,与之同的是iOS内置了很多信任的证书,所以iOS需要做任何操作。2.通过这个类我们可以获得SSLSocketFactory,这个东西就是用来管理证书和信任证书的,然后还需要配置一个HostnameVerifier来忽略host验证,然后我们在Okhttp3中设置一下这两个属性。
android网络请求忽略证书,OkHttp使用https忽略证书验证
weixin_39541189的博客
05-28 1179
https最近在使用https访问时遇到证书的问题,在调试的时候始终会提示证书可用,于是查询了一下,忽略证书的验证;方法一:1.继承SSLSocketFactory ,重写里面的方法;import java.io.IOException;import java.net.InetAddress;import java.net.Socket;import java.net.UnknownHostEx...
Android APP之WebView校验SSL证书的方法
08-29
SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 在Android系统中,WebView组件可能会因为各种原因而无法访问HTTPS站点,例如手机日期...
Android webview跳过校验https证书
qq_33209777的博客
11-02 2226
首先我们去分析一下出现的原因 当webview加载https地址的时候,如果因为证书的问题出错的时候就会走onReceivedSslError()方法 webView.setWebViewClient(new WebViewClient() { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { // s...
android 忽略https证书,在Xamarin.android中,忽略SSL证书校验
weixin_35699301的博客
05-27 824
在Xamarin.android中,如果遇到SSL证书无效或者是自签名的,可能会导致请求失败。类似下面的错误:解决方法,就是在 android 这边忽略 ssl 证书检查。在 Activity 的 OnCreate方法里面 加入 IgnoreSSLX509Certificate(); 方法。private void IgnoreSSLX509Certificate(){ITrustManager...
基于Android10的忽略HTTPS证书校验
小小小石头的专栏
03-31 8805
为什么要忽略证书校验Android 9 开始 APP默认访问的URL 必须是HTTPS协议的,虽然可以配置回支持HTTP,但这种做法建议使用,已经0202年了,HTTPS早已经是主流。既然要使用HTTPS协议,就少了CA证书,这个证书是收费的,也有些平台可以什么一年有效期的免费证书,但作为个人开发者,自己建个项目,开发用,完全没必要,我们使用JDK下的keytool生成 https证书。...
Android-工作遭遇-URLConnection原生请求httphttps忽略证书
ccx
09-27 2826
Android网络请求框架非常多,github一搜就是一堆.我的博客就讲这些,我就讲讲原生已经够用了. HttpURLConnection是Android提供的一个网络请求库,个人认为,还是蛮好用的. HttpsURLConnection是本身就继承自HttpURLConnection的类 首先是忽略证书这一块.有些请求涉及到请求证书.加载证书似乎很麻烦.(麻烦,我想加载) 首先需要...
深入分析 Android HTTPS 证书管理策略:设置本地证书、使用系统默认证书忽略证书
weixin_37600397的博客
07-02 2336
设置本地证书:提供最高的安全性和合规性,适用于高安全要求的应用,但维护复杂。使用系统默认证书:配置简单、维护轻松,适用于一般的商业应用。忽略证书验证:仅适用于开发和测试阶段,安全性极低,绝推荐在生产环境中使用。根据应用的实际需求和安全要求选择合适的 SSL 证书管理策略,以确保应用的数据传输安全和用户隐私保护。
https证书Android中的使用
static_zh的博客
07-09 4340
我们在使用https访问服务器的时候都需要校验证书,测试的时候为了方便默认信任的所有的证书,但是在上线的时候就需要设置证书了,一个比较简单的方式就是在客户端内置证书,设置给网络框架,比如OKHttp,这样在网络访问的时候客户端就会校验服务器的证书是和本地的证书一致。具体代码如下: /** * * @param inputStream 本地证书的输入流 * @ret...
验证https证书过期时间
qq_29580963的博客
07-19 2691
public void httpsUrl(String httpsurl) throws Exception { URL url = new URL(httpsurl); HttpsURLConnection connection = (HttpsURLConnection) url.openConnection(); connection.connect(); for (Certific...
androidhttps证书验证(SSL证书
WalterZhou的博客
03-08 3372
1. 背景与需求 近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS证书验证。 其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。 2.实现目标 本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也需要客户端内置证书...
android https证书链,https 证书完整导致安卓打开的解决办法
weixin_42502016的博客
05-27 1556
起因在给一客户部署 https 证书后客户反馈手机在安卓上无法打开,刚开始以为是服务器问题,但是在 chrome 和 iPhone 上均表现良好,于是翻出安卓机一看,果然有问题,弹出了如下界面:原来是证书链的问题,那就好办了证书链每个设备中都会存有一些默认的可信的根证书,但很多CA是使用根证书进行签名的,而是使用中间层证书进行签名,但是如果我们的服务器上没有中间件证书,而客户端的浏览器里只有CA...
日常开发——Android请求自定义证书https
Jeffery_Gong的博客
05-24 1876
有时候为了app的数据安全,开发者会考虑使用https来进行数据传输。在安卓上,原生的HttpsURLConnection和WebView只支持那些得到安卓系统承认的证书的站点。如果请求那些使用未通过系统认证的证书的站点,则系统会报错。对于个人开发者来说,申请正规的证书性价比高,每年都需要少的费用,而且开发阶段会被申请流程阻塞,所以使用自定义的证书就好。现在的问题是怎么让app绕过系统的证书
android HTTPS校验服务器证书漏洞修复
kyzycyey的专栏
04-10 2412
上述代码是重写了域名校验的逻辑,每个证书里携带的域名是可更改的,如果证书是合法的证书签发机构签发的,并且域名是和你要请求的域名对的上的,基本上就能确认你访问就服务器地址就是要访问的服务器地址,这样才是安全的。上述代码就是重新了证书校验的逻辑,信任所有的证书,正确的逻辑是要校验证书是否是可信任的证书签发机构所认证的,如果校验的话你虽然是用了https加密传输,只要你的客户端用户信任了其他的证书哪怕是非法的证书,一样能够请求通过,而这个证书的服务器就可以解密你的报文,拿到你的隐私信息了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ruiurrui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值