Перехватывать POST-запросы в WebView

Я разрабатываю приложение для Android, которое фильтрует запросы (с белым списком) и использует пользовательский SSLSocketFactory. Для этого я разработал пользовательский WebViewClient, и я переопределил метод shouldInterceptRequest. Я могу фильтровать и использовать мой SocketFactory с запросами GET, но я не могу перехватить запросы POST.

Итак, есть ли способ перехватить запросы POST в WebView?

Вот код метода shouldInterceptRequest:

public final WebResourceResponse shouldInterceptRequest(WebView view, String urlStr) {
    URI uri = URI.create(urlStr);
    String scheme = uri.getScheme();
    // If scheme not http(s), let the default webview manage it
    if(!"http".equals(scheme) && !"https".equals(scheme)) {
        return null;
    }
    URL url = uri.toURL();

    if(doCancelRequest(url)) {
        // Empty response
        Log.d(TAG, "URL filtered: " + url);
        return new WebResourceResponse("text/plain", "UTF-8", new EmptyInputStream());

    } else {
        Log.d(TAG, "URL: " + url);

        HttpURLConnection conn = (HttpURLConnection) url.openConnection();
        conn.setRequestProperty("User-Agent", mSettings.getUserAgentString());

        // Configure connections
        configureConnection(conn);

        String mimeType = conn.getContentType();
        String encoding = conn.getContentEncoding();

        if(mimeType != null && mimeType.contains(CONTENT_TYPE_SPLIT)) {
            String[] split = mimeType.split(CONTENT_TYPE_SPLIT);
            mimeType = split[0];

            Matcher matcher = CONTENT_TYPE_PATTERN.matcher(split[1]);
            if(matcher.find()) {
                encoding = matcher.group(1);
            }
        }

        InputStream is = conn.getInputStream();
        return new WebResourceResponse(mimeType, encoding, is);
    }
}

Ответы

Ответ 1

Используйте GET вместо POST.

Известная проблема: http://code.google.com/p/android/issues/detail?id=9122

Также был дан ответ: Android - как перехватить форму POST в android WebViewClient на уровне API 4

Ответ 2

вы можете получить входное значение перед отправкой
https://github.com/henrychuangtw/WebView-Javascript-Inject

Шаг 1: создайте класс, который вызывается javascript

class MyJavaScriptInterface
{
    @JavascriptInterface
    public void processHTML(String html)
    {
        //called by javascript
    }
}

Шаг 2: интерфейс регистрации для javascript

webview1.getSettings().setJavaScriptEnabled(true);
webview1.addJavascriptInterface(new MyJavaScriptInterface(), "MYOBJECT");

Шаг 3: добавьте javascript на страницу

webview1.setWebViewClient(new WebViewClient() {
    @Override
    public void onPageFinished(WebView view, String url) {
        super.onPageFinished(view, url);

        StringBuilder sb = new StringBuilder();
        sb.append("document.getElementsByTagName('form')[0].onsubmit = function () {");
        sb.append("var objPWD, objAccount;var str = '';");
        sb.append("var inputs = document.getElementsByTagName('input');");
        sb.append("for (var i = 0; i < inputs.length; i++) {");
        sb.append("if (inputs[i].type.toLowerCase() === 'password') {objPWD = inputs[i];}");
        sb.append("else if (inputs[i].name.toLowerCase() === 'email') {objAccount = inputs[i];}");
        sb.append("}");
        sb.append("if (objAccount != null) {str += objAccount.value;}");
        sb.append("if (objPWD != null) { str += ' , ' + objPWD.value;}");
        sb.append("window.MYOBJECT.processHTML(str);");
        sb.append("return true;");
        sb.append("};");

        view.loadUrl("javascript:" + sb.toString());
    }

});

Ответ 3

У меня есть один из моих ответов над потоком http://code.google.com/p/android/issues/detail?id=9122

См. комментарий # 31

Некоторые из предостережений моего решения я вижу:

Включение зависимости от прототипа xmlhttprequest, который имеет различную реализацию для разных веб-китов.
Проблема безопасности при отправке данных для почтовых запросов в URL. Но я думаю, вы можете решить это с помощью некоторого механизма шифрования.
Проблема с длиной URL-адресов для некоторых браузеров, если вы отправляете большие данные для публикации

Кроме того, я нашел этот github repo, который, похоже, решает эту проблему другим хакерским способом. Я просмотрел код, но не успел реализовать и протестировать его. Но стоит попробовать.

Ответ 4

Я столкнулся с тем же вопросом несколько дней назад.

Итак, я построил библиотеку, которая ее решает:

https://github.com/KonstantinSchubert/request_data_webviewclient

Это WebViewClient с пользовательским WebResourceRequest, который содержит POST/PUT/... полезную нагрузку запросов XMLHttpRequest.

Он работает только для них, но не для форм и других источников запросов.

Взлом работает, в основном, путем ввода script в HTML, который перехватывает вызовы XMLHttpRequest. Он записывает содержимое post/put/... и отправляет его в android.webkit.JavascriptInterface. Там запрос спрятан до тех пор, пока не будет вызван метод shouldInterceptRequest Android...