开启 Android WebView 的安全浏览模式

Hybrid App（混合式开发）已经是每一个商业应用都会使用的开发手段。其最大的优势就是将一些可动态更新的内容页面使用 H5 开发，然后借用移动端原生系统提供的 WebView 控件加载进来。这种方式不仅能够节约安卓和 iOS 两个客户端的开发人力成本，还能在避免应用版本迭代的情况下动态更新页面内容。然而，WebView 有一个弊端，就是始终无法避免的安全问题。

比如，你连接的 WI-FI 可能会被一些网络运营商恶意拦截 DNS 系统，当你打开应用的 WebView 时，会在页面底部或者其他地方看到莫名其妙的广告内容。更有甚者，直接重定向到其他网页，对应用或者设备随意操作，存在很大的安全隐患。

Google 一直也在致力于处理这个问题。最近，就有了一些进展。根据 Android Developers 官方博客介绍，从 Android O 开始，WebView 将采用独立于托管应用之外的进程来进行渲染器，提供隔离空间。

这种做法与 Chrome 浏览器类似，使得 WebView 拥有两级隔离：

1. WebView 渲染引擎剥离出独立进程。这样，也就不会存在由于 WebView 的加载错误导致我们的主应用发生崩溃问题，而且第三方恶意网站也很难通过渲染器攻击托管应用。

2. 在隔离的进程沙盒中运行的渲染器进程，被限制使用设备资源。比如，渲染器不能自行向磁盘写入数据，或者进行网络通信等。这种隔离能够进一步防御恶意攻击。

安全浏览模式下的最新版 WebView 还集成了 Google 安全浏览机制，来保护和提醒用户可能存在风险的网站。启用安全浏览配置后，WebView 将参考安全浏览的恶意软件和钓鱼网站数据库检查访问的 URLs 地址，在用户打开之前给予危险提示，如：

讲到这里，你可能就要问了，如何启动 WebView 安全浏览呢？很简单，在我们应用的 Manifest 清单文件中按照下面的代码简单配置一下，便可以让当前 App 中使用到的所有 WebView 都能支持安全浏览：

<manifest>
    <meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
               android:value="true" />
    ...
    <application> ... </application>
</manifest>

由于 WebView 作为一个独立的 APK 被分发使用的，截至目前，Android 5.0 及以上系统的设备已经可以支持 WebView 安全浏览。而你只需要在清单文件中添加如上配置代码，便可以让你的混合式开发的应用更加安全。

文章备注：本文中部分内容翻译自安卓开发者官方博客，参考链接（需要FQ）：What’s new in WebView security。

相关拓展内容：

• 关于 WebView 与 Java 代码的交互操作，可参考我之前总结的文章 —— Android WebView —— Java 与 JavaScript 交互总结

• 有关 WebView 使用的更多细节，可访问链接 —— Managing WebViews

关于我：亦枫，博客地址：http://yifeng.studio/，新浪微博：IT亦枫

微信扫描二维码，欢迎关注我的个人公众号：安卓笔记侠

不仅分享我的原创技术文章，还有程序员的职场遐想