Android WebView常见问题处理

1、Android 8.0+无法重定向

在Android8.0中，重WebViewClient时需要注意，shouldOverrideUrlLoading返回值是false才会自动重定向，并且无需调用loadUrl

@Override
public boolean shouldOverrideUrlLoading(WebView view, String url) {

if(shouldLoadingUrl()) {
view.loadUrl(url);
return true;
}
return false;
}

public boolean shouldLoadingUrl() {
/**
* 低于android 8.0的需要手动loadURL，大于等于android 8.0直接返回false，否则无法重定向
*/
return Build.VERSION.SDK_INT<26;
}

2、Cookie同步

2.1、场景：C/S->B/S Cookie同步

在Android混合应用开发中，一般来说，有些页面通过Native方式实现，有些通过WebView实现。对于登录而已，假设我们通过Native登录，需要把SessionID传递给WebView，这种情况需要同步。

2.2、场景：不同域名之间的Cookie同步

对于分布式应用，或者灰度发布的应用，他的缓存服务器是同一个，那么域名的切换时会导致获取不到sessionID，因此，不同域名也需要特别处理。

定义方法：

public static void synCookies(Context context, String url) {
try {

if (!UserManager.hasLogin()) {  //判断用户是否已经登录

setCookie(context, url, "SESSIONID", "invalid");
} else {
setCookie(context, url, "SESSIONID", SharePref.getSessionId());

}

} catch (Exception e) {
}
}

private static void setCookie( Context context,String url, String key, String value) {

if (Build.VERSION.SDK_INT < 21) {
CookieSyncManager.createInstance(context);
}
CookieManager cookieManager = CookieManager.getInstance();
cookieManager.setAcceptCookie(true);  //同样允许接受cookie

URL pathInfo = new URL(url);
String[] whitelist = new String{".abc.com","abc.cn","abc.com.cn"}; //白名单
String domain = null;

for(int i=0;i<whitelist.length;i++){
if(pathInfo.getHost().endsWith(whitelist[i])){
domain  = whitelist[i];
break;
}
}
if(TextUtils.isEmpty(domain)) return; //不符合白名单的不同步cookie

StringBuilder sbCookie = new StringBuilder();
sbCookie.append(String.format("%s=%s", key, value));
sbCookie.append(String.format(";Domain=%s", domain));
sbCookie.append(String.format(";path=%s", "/"));
String cookieValue = sbCookie.toString();
cookieManager.setCookie(url, cookieValue);
if (Build.VERSION.SDK_INT < 21) {
CookieSyncManager.getInstance().sync();
} else {
CookieManager.getInstance().flush();
}
}

调用位置：shouldOverrideUrlLoading中调用

@Override
public boolean shouldOverrideUrlLoading(WebView view, String url) {
syncCookie(view.getContext(),url);   //同步，当然还可以优化，如果前一个域名和后一个域名不同时我们再同步
if(shouldLoadingUrl()) {
view.loadUrl(url);
return true;
}
return false;
}

2.3：场景三：从B/S->C/S

这种情况多发生于第三方登录，但是获取cookie通过CookieManager即可，但是的好时机是页面加载完成

public void onPageFinished(WebView view, String url) {
CookieManager cookieManager = CookieManager.getInstance();
String CookieStr = cookieManager.getCookie(url);
LogUtil.i("Cookies", "Cookies = " + CookieStr);
super.onPageFinished(view, url);
}

注意：在页面加载之前一定要调用cookieManager.setAcceptCookie(true); 允许接受cookie，否则可能产生问题。

3、跨域访问问题

3.1访问方式

跨域访问一般来说具有一定的风险，在Android Webview中，跨域访问的方式和web 浏览器类似

①CORS （推荐）

②JSONP（推荐）

③Cookie子域名+根目录

④WebSocket

⑤postMessage

⑥通过后端代理

⑦android内置方式

在Android中，也可以通过设置Webview方式，但是这种风险很高，最好做白名单处理，一般而言并不推荐

/**
* 是否允许跨域访问
* @param settings WebSettings
* @param isAllow
*/
public static void allowUniversalAccessFromFileURLs(WebSettings settings,boolean isAllow){

if(Build.VERSION.SDK_INT>=16)
{
settings.setAllowUniversalAccessFromFileURLs(isAllow);
}else{
try {
Class<?> clazz = settings.getClass();
Method method = clazz.getMethod("setAllowUniversalAccessFromFileURLs", boolean.class);
if (method != null) {
method.invoke(settings, isAllow);
}
} catch (Exception e) {
e.printStackTrace();
}
}
}

3.2、跨域Cookie同步问题

以上方式根据情况而定，但是Cookie跨域同步，以上方式中从兼容性和安全性上，CORS相对较好。

在响应头服务器返回中，需要添加

Access-Control-Allow-Credentials:true

客户端调用时，需要设置credentials

$.ajax({
url: a_cross_domain_url,
xhrFields: {
withCredentials: true
}
});

4、安全问题

①防止XSS

②android 4.2之前的版本不要使用javainterface，可使用拦截prompt的方式

③移除android 4.2之前的默认接口

removeJavascriptInterface(“searchBoxJavaBridge_”)

removeJavascriptInterface(“accessibility”)

removeJavascriptInterface(“accessibilityTraversal”)

④防止不安全的访问

setAllowFileAccessFromFileURLs(false);

setAllowUniversalAccessFromFileURLs(false);

⑤使用https或者http2.0交互

⑥避免使用代理

5、H5布局问题

布局不要让webview滚动，推荐flex或者columns布局