Android攔截並獲取WebView內部POST請求參數

-Advertisement-

起因：有些時候自家APP中嵌入的H5頁面並不是自家的。但是很多時候又想在H5不知情的情況下獲取H5內部請求的參數，這應該怎麼做到呢？帶著這個疑問，就有了這篇博客。實現過程：方案一：最開始想到的方案是直接攔截H5中所有的請求：但是通過此方法只能獲取get請求的參數（因為參數直接拼在了url ...

起因：

有些時候自家APP中嵌入的H5頁面並不是自家的。但是很多時候又想在H5不知情的情況下獲取H5內部請求的參數，這應該怎麼做到呢？

帶著這個疑問，就有了這篇博客。

實現過程：

方案一：

最開始想到的方案是直接攔截H5中所有的請求：

 1 webView.setWebViewClient(new WebViewClient() {
 2     @Override
 3     public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) {
 4         try {
 5             URL url = new URL(request.getUrl());
 6         } catch (MalformedURLException e) {
 7             e.printStackTrace();
 8         }
 9         Log.e("InternetActivity", request + "");
10         return super.shouldInterceptRequest(view, request);
11     }
12 
13 });

但是通過此方法只能獲取get請求的參數（因為參數直接拼在了url鏈接中），對於post請求的參數無可奈何。

方案二：

後來參考了request_data_webviewclient，有了新的實現方式，具體原理為：給H5註入一段js代碼，目的是在每次Ajax請求都會調用Android原生的方法，將請求參數傳給客戶端。

具體流程如下：

其中，

js註入代碼：

 1 <script language="JavaScript">
 2 
 3     function generateRandom() {
 4       return Math.floor((1 + Math.random()) * 0x10000)
 5         .toString(16)
 6         .substring(1);
 7     }
 8 
 9 
10     // This only works if `open` and `send` are called in a synchronous way
11     // That is, after calling `open`, there must be no other call to `open` or
12     // `send` from another place of the code until the matching `send` is called.
13     requestID = null;
14     XMLHttpRequest.prototype.reallyOpen = XMLHttpRequest.prototype.open;
15     XMLHttpRequest.prototype.open = function(method, url, async, user, password) {
16         requestID = generateRandom()
17         var signed_url = url + "AJAXINTERCEPT" + requestID;
18         this.reallyOpen(method, signed_url , async, user, password);
19     };
20     XMLHttpRequest.prototype.reallySend = XMLHttpRequest.prototype.send;
21     XMLHttpRequest.prototype.send = function(body) {
22         interception.customAjax(requestID, body);
23         this.reallySend(body);
24     };
25 
26 </script>

客戶端攔截請求：

 1 @Override
 2 public final WebResourceResponse shouldInterceptRequest(final WebView view, WebResourceRequest request) {
 3     String requestBody = null;
 4     Uri uri = request.getUrl();
 5 
 6     // 判斷是否為Ajax請求（只要鏈接中包含AJAXINTERCEPT即是）
 7     if (isAjaxRequest(request)) {
 8         // 獲取post請求參數
 9         requestBody = getRequestBody(request);
10         // 獲取原鏈接
11         uri = getOriginalRequestUri(request, MARKER);
12     }
13 
14     // 重新構造請求，並獲取response
15     WebResourceResponse webResourceResponse = shouldInterceptRequest(view, new WriteHandlingWebResourceRequest(request, requestBody, uri));
16     if (webResourceResponse == null) {
17         return webResourceResponse;
18     } else {
19         return injectIntercept(webResourceResponse, view.getContext());
20     }
21 }

客戶端註入js代碼：

 1 private WebResourceResponse injectIntercept(WebResourceResponse response, Context context) {
 2     String encoding = response.getEncoding();
 3     String mime = response.getMimeType();
 4 
 5     // WebResourceResponse的mime必須為"text/html",不能是"text/html; charset=utf-8"
 6     if (mime.contains("text/html")) {
 7         mime = "text/html";
 8     }
 9 
10     InputStream responseData = response.getData();
11     InputStream injectedResponseData = injectInterceptToStream(
12             context,
13             responseData,
14             mime,
15             encoding
16     );
17     return new WebResourceResponse(mime, encoding, injectedResponseData);
18 }

註：根據谷歌官方文檔，mime必須為"text/html"。

反思：

開發過程中遇到了頁面一直顯示不了的問題，實際上就是因為獲取到的mime是"text/html; charset=utf-8"，得改成"text/html"；
通過此方法也可篡改response與request，但不要濫用；
所以說，Android確實不安全！

GitHub地址：webview_post_data

大家如果有什麼疑問或者建議可以通過評論或者郵件的方式聯繫我，歡迎大家的評論~

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

資料庫原理 - 序列3 - 事務是如何實現的？ - Redo Log解析

6.5 事務實現原理之1：Redo Log 介紹事務怎麼用後，下麵探討事務的實現原理。事務有ACID四個核心屬性：A：原子性。事務要麼不執行，要麼完全執行。如果執行到一半，宕機重啟，已執行的一半要回滾回去。C：一致性。各種約束條件，比如主鍵不能為空、參照完整性等。I：隔離性。隔離性和併發性密切相關， ...
資料庫原理 - 序列4 - 事務是如何實現的？ - Redo Log解析（續）

> 本文節選自《軟體架構設計：大型網站技術架構與業務架構融合之道》第6.4章節。作者微信公眾號：> 架構之道與術。進入後，可以加入書友群，與作者和其他讀者進行深入討論。也可以在京東、天貓上購買紙質書。 ## 6.5.5 Redo Log Block結構 Log Block還需要有Check sum ...
Oracle截取JSON字元串內容

參數說明： p_jsonstr：目標JSON字元串 startkey：需要截取的JSON內容key值 endkey：目標key的下一個key 舉例說明：select parsejsonstr(INFO,'AGE', 'HEIGHT') from TTTT 圖為TTTT表中的內容，例子為截取INFO中 ...
初識Flink

本文主要是簡單介紹一下Flink基礎信息，更多有關Flink的介紹可以查看 "官方文檔" 。 Big Data "wikipedia" 大數據（Big data），又稱為巨量資料，指的是傳統數據處理應用軟體不足以處理它們的大或複雜的數據集的術語。大數據也可以定義為來自各種來源的大量非結構化或結構化數 ...
MR匯聚工具步驟

MR匯聚工具步驟 1、需要連上141伺服器用戶:root 密碼:Richr00t-- 2、【MR匯聚工具】--3、位置 141目錄下進入後切換fast用戶 su fast /home/fast/luohai/Projects 第一步首先需要創建外部表【MR定位表建立工具】--4、建立MR定位數據 ...
oracle數據入庫

oracle數據入庫註意：先要處理文件中的分隔符將數據分列創建為標準的sql語句 oracle數據入庫 1.在oracle資料庫中創建要入庫的表如果有該表則不用創建（註：創建欄位的數據類型要符合實際邏輯 varchar2欄位最大為4000） 2.把csv文件放入到伺服器上的文件夾中要和ctl ...
MySQL優化原理，我一定得告訴你！

作者：CHEN川 www.jianshu.com/p/d7665192aaaf 說起MySQL的查詢優化，相信大家積累一堆技巧：不能使用SELECT *、不使用NULL欄位、合理創建索引、為欄位選擇合適的數據類型….. 你是否真的理解這些優化技巧？是否理解其背後的工作原理？在實際場景下性能真有提升嗎 ...
ADB常用命令

基本用法命令語法 adb 命令的基本語法如下： adb [-d|-e|-s <serialNumber>] <command> 如果只有一個設備/模擬器連接時，可以省略掉 [-d|-e|-s <serialNumber>] 這一部分，直接使用 adb <command>。為命令指定目標設備如果 ...