我正在开发一个应用程序,有时我需要在给定 URL 的情况下检索网站标题。下面的代码就是这样做的
InputStream response = null;
try {
response = new URL(urlString).openStream();
Scanner scanner = new Scanner(response);
String responseBody = scanner.useDelimiter("\\A").next();
title = responseBody.substring(responseBody.indexOf("<title>") + 7, responseBody.indexOf("</title>"));
}
catch (IOException e) {
didWeGetTitle = true;
CustomLogger.log("UrlDataExtractor: retrieveWebsiteTitleAndFavicon: Retrieve title: Error IOException. " + e,'e');
e.printStackTrace();
}
问题是对于某些网页(例如 CreditCheckTotal.com)抛出 IOException。这里是异常(exception)
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
据我了解,发生这种情况的原因是 SSL 证书不受信任。我一直在寻找解决此问题的方法,并发现了一篇建议在建立连接之前运行以下代码的帖子。
private static void trustEveryone() {
try {
HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier(){
public boolean verify(String hostname, SSLSession session) {
return true;
}});
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, new X509TrustManager[]{new X509TrustManager(){
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException {}
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException {}
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}}}, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(
context.getSocketFactory());
} catch (Exception e) { // should never happen
e.printStackTrace();
}
}
现在,从帖子中可以明显看出,此解决方案可能构成安全威胁,因为它可能会产生 MIMA。现在,我的问题是,由于我上面提到的代码的唯一目的是获取网页的标题,所以只信任所有证书对我来说是否有问题?
最佳答案
完成证书验证以确保您正在与正确的服务器对话,即防止中间人攻击。如果您只想获取网页的标题而不传输任何敏感数据,那么禁用证书验证的风险可以被认为是可以接受的,只要您接受获得不同内容的风险(这可能会导致不同的标题)以防中间人攻击。
关于java - Android SSL 连接中间人攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47482760/