WebViewClient.onReceivedSslErrorハンドラのAndroidで安全でない実装

Question

WebViewを使用して、アプリでpaytm支払いページを読み込みます。このプロセスでは、SSL証明書のエラーが発生しました。これを処理するために、コード内にSslErrorHandler.proceed（）を追加しました。すべてがうまくいきます。私は店にこのAPKを公開しようとしたが、このアプリは言及拒否されてしまった

WebViewClient.onReceivedSslErrorハンドラここ

の

危険な実装では、私のコード

fcweb.getSettings().setJavaScriptEnabled(true); 
    fcweb.getSettings().setDomStorageEnabled(true); 
    fcweb.setLongClickable(false); 
    fcweb.setHapticFeedbackEnabled(false); 
    CookieManager.getInstance().setAcceptCookie(true); 
    fcweb.setWebViewClient(new WebViewClient(){ 

     @Override 
     public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { 
      handler.proceed(); // Ignore SSL certificate errors 
      L.d("SSL Error received"); 

     } 

    }); 

注です：私はいけませんエラーに関する警告ダイアログを表示したい。 これを解決するにはどうすればよいですか？

Answer 1

必ずしも強制しないhandler.proceed（）; handler.cancel（）もインクルードする必要があります。ユーザーは危険なコンテンツの読み込みを避けることができます。

SSL証明書の検証を正しく処理するには、サーバーによって提示された証明書が期待どおりになるたびにSslErrorHandler.proceed（）を呼び出すようにコードを変更し、それ以外の場合はSslErrorHandler.cancel（）を呼び出します。

@Override 
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) { 
    final AlertDialog.Builder builder = new AlertDialog.Builder(this); 
    builder.setMessage(R.string.notification_error_ssl_cert_invalid); 
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() { 
     @Override 
     public void onClick(DialogInterface dialog, int which) { 
      handler.proceed(); 
     } 
    }); 
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() { 
     @Override 
     public void onClick(DialogInterface dialog, int which) { 
      handler.cancel(); 
     } 
    }); 
    final AlertDialog dialog = builder.create(); 
    dialog.show(); 
} 

の