如何修复 Android 应用中 X509TrustManager 的不安全实现

2024-02-10

Google 通知我的 Android 应用程序中的 X509TrustManager 接口实现不安全，需要按如下方式更改代码：

要正确处理 SSL 证书验证，请更改中的代码自定义 X509TrustManager 接口的 checkServerTrusted 方法每当发生时引发CertificateException或IllegalArgumentException 服务器提供的证书不符合您的要求期望。对于技术问题，您可以发布到 Stack Overflow 并使用标签“android-security”和“TrustManager”。

如何修改以下代码来解决上述问题？

public EasySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
    super(truststore);

    TrustManager tm = new X509TrustManager()  {
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }
    };

    mContext.init(null, new TrustManager[] { tm }, null);
}

我已经使用以下代码解决了这个问题：

public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                try {
                    chain[0].checkValidity();
                } catch (Exception e) {
                    throw new CertificateException("Certificate not valid or trusted.");
                }
            }

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

androidsecurity

trustmanager

如何修复 Android 应用中 X509TrustManager 的不安全实现的相关文章

OkHttp: <-- HTTP 失败: java.net.UnknownServiceException: 网络安全策略不允许与 10.0.2.2 进行 CLEARTEXT 通信

I have implemented google sign in with Firebase authentication in my Android app succesfully 如您所见我已使用我的帐户登录并且它显示在 Fire
确保 Android WebView 安全的最佳实践检查列表

我正在开发一个主要用 Native 编写并支持 Ice Cream Sandwich 的应用程序但是我需要添加一些 WebView 关于 WebView 安全性有很多讨论当我使用 setJavaScriptEnabled true 时
Android 权限（我们在清单文件中定义）与相应 API 调用/方法之间的映射

在哪里可以找到 Android 权限我们在清单文件中定义与相应 API 调用方法之间的映射例如 GET ACCOUNTS is a permission type which maps to getAccountsByType ge
Google Play 错误：SSL 错误处理程序漏洞和应用程序更新被拒绝

apk 被拒绝后如何解决 Google Play 商店中出现的以下错误您的 APK 因包含安全漏洞而被拒绝这违反了恶意行为政策 SSL 错误处理程序查看拒绝消息它将指出有问题的类如果你有一个WebViewClient 然后确保你实
如何从源代码中混淆的 ProGuard 类名中找到真实的类名？

我收到一封来自 Google 的电子邮件内容涉及TrustManager 的不安全实现唯一的线索表明有问题的代码位于 com b a af 类中显然这是一个混淆的名字我如何在我自己的源代码中从混淆的类名中获取真实的类名有什么方法可以
java.security.cert.CertPathValidatorException：找不到证书路径的信任锚。在 API 上小于 24

com android volley NoConnectionError javax net ssl SSLHandshakeException java security cert CertPathValidatorException T
如何使用未知 CA 自签名的证书让 Android Volley 执行 HTTPS 请求？

在提出问题之前我找到了一些链接我逐一检查了这些链接但没有一个链接给我提供了解决方案知名CA 使用 Volley 的 HTTPS 请求 https stackoverflow com questions 21555404 https
使用 ANDROID_ID 时的替代方法消除安全警告以及如何获取设备 ID？

公共静态字符串 getDeviceID Context mContext String deviceId Settings Secure getString mContext getContentResolver Settings Secu
HostnameVerifier 接口的不安全实现 - Android

Play 商店应用被拒绝的原因您的应用程序正在使用 HostnameVerifier 接口的不安全实现您可以在此找到有关如何解决该问题的更多信息Google 帮助中心文章 https support google com faqs an
错误[Ljava.lang.Object;将 X509Certificate 的数组列表转换为数组时，无法转换为 [Ljava.security.cert.X509Certificate

我对这个 ssl 和证书很陌生我有一个 jks 文件其中包含服务器信任的一些证书我试图从 jks 文件中读取所有证书并将其返回到 getAcceptedIssuers 方法证书的类型为 X509Certificate 我实现的方法正
什么是 AAPT（Android 资源打包工具）以及它如何工作？

AAPT Android 资源打包工具是什么意思它是如何工作的我可以运送吗 so使用 AAPT 将一个应用程序的文件放入另一个应用程序的 APK 文件中 AAPT 允许您查看创建和更新 ZIP 兼容的存档 ZIP JAR 和 APK
如何以编程方式检查 Android 上的 TEE 支持？

如何以编程方式检查 Android 上的 TEE 支持在项目中我们需要检查是否支持 TEE 可信执行环境才能做出决定 Regards Android 7 0引入了这个功能密钥证明 https developer android co
将多个 apk 或 aab 添加到 Google Play 中的“不包含”部分

当我想发布生产版本时我只能将应用程序包添加到不包括部分那么如何将多个应用程序包添加到该部分这是GG Play的bug吗确保让分阶段推出 100 这个对我有用
链接到适用于 Android 的工作 webRTC 库

Google Play 最近几天有一个关于我使用的 WebRTC 库的新错误警告我使用这个库将近一年了 google webrtc 1 0 32006 aar 我的应用程序仍然可用但他们要求更新库这通常意味着他们将来会阻止使用该库的
来自 Google Play 的 SSL 警告

收到来自 google play 的警告我如何处理 WebViewClient onReceivedSslError 处理程序的不安全实现的 SSL 错误处理程序漏洞请尽快解决此漏洞并增加升级后的APK的版本号为了正确处理SSL证书验
FCM 安全警报

安全警报您的应用包含公开的 Google Cloud Platform GCP API 密钥请看这个Google 帮助中心文章 https support google com faqs answer 9287711了解详情我在 Go
Google Play 安全警报 - 您的应用正在使用 HostnameVerifier 的不安全实现

最近我的一个应用程序收到了来自 Google Play 的安全警报如下所示您的应用程序正在使用不安全的实现主机名验证器 https developer android com reference javax net ssl Hostn
您正在使用 X509TrustManager 的不安全实现

我在 Google Play 中有一个应用程序今天我收到一封来自 Google 的邮件内容如下 Google Play 警告您正在使用不安全的实现 X509信任管理器它介绍了有关 SSL 证书问题以及解决该问题的方法我是出于好奇才
您的应用程序正在使用具有不安全的 openFile 实现的内容提供程序

在 Playstore 上发布我的应用程序后我收到了这封电子邮件您好 Google Play 开发者我们审查了包名为 com example myappname 的 MyAppName 发现您的应用使用的软件包含用户安全漏洞具有这些
Apksigner 不验证签名

我试图使用 apksigner 验证最新 Gmail 应用程序版本 8 11 25 224 的签名但失败了 I used apksigner verifiy verbose print certs

随机推荐

创建空 S4 对象的向量

这可能是微不足道的但我没有在网上找到任何东西是否可以在 R 中创建空 S4 对象的向量就像是 s4Vec lt rep emptyS4Object 10 Thanks 像这样 s4Vec lt lapply rep yourClass
在 Eclipse 中，为什么“自动构建”被神秘地禁用？

我正在运行 Eclipse Europa 3 3 我始终将项目菜单下的自动构建设置保留为打开状态偶尔我的代码无法编译我对它感到困惑然后拉下项目菜单你瞧它不再设置了是什么赋予了这是一个错误还是我正在做的其他事情可能
用 python 可视化二维随机游走

我正在尝试在二维中进行随机游走并绘制二维游走我已经能够步行了但情节并不完全是我想要的可以用 python 现场观看步行吗或者只是为每个点添加一个标签以便您知道哪个点是第一个哪个点是第二个等等 import numpy as n
单击外部时隐藏下拉菜单

我有一个下拉菜单里面有复选框我想当用户点击外部时关闭下拉菜单我的代码是
解析“href”标签中包含特定单词的所有链接[重复]

这个问题在这里已经有答案了可能的重复获取 A 元素的 href 属性 https stackoverflow com questions 3820666 grabbing the href attribute of an a eleme
如何使用 C# 或批处理文件更改默认浏览器

标题说明了一切默认浏览器保存为 Windows 注册表项中的一个条目这些值是基于协议保存的如下所示 HKEY CLASSES ROOT 协议 shell open command 其中协议可以是http https等关于如何在C 内
如何确定 jekyll 是在本地运行还是在生产站点运行？

jekyll 中有一个名为 production url 的配置参数我找不到任何有关如何使用它的信息理想情况下我希望能够在运行时生成带有本地网址的永久链接serve运行时的参数和生产 urlbuild param 我怎么能这么做呢当
关闭 vim 中特定模式的高亮显示

在 vim 中我正在编辑文件类型 markdown 的文件但其中包含乳胶数学表达式例如 x i Vim 的 Markdown 语法高亮认为模式字母下划线字母是一个错误并以亮红色突出显示此类模式中的下划线我想通过在 vimr
如何从 JSON 文件中的每个值中删除空格和换行符？

我有一个JSON文件具有以下结构 name someKey n n some Value someKey another value anotherName anArray key value n n anotherKey value
网络：使用 igraph 从事件节点数据创建图形对象

我想从事件注释数据为 igraph 创建一个网络对象例如我有一个数据如下所示 Event Person 1 Obama 1 Putin 1 Abe 1 Cameron 2 Putin 2 Xi 2 Merkel 3 Obama 3 Ab
从 Objective C 中的 Swift 类继承

我在 Xcode 7 项目中成功混合和匹配 Obj C 和 Swift 然而我似乎无法弄清楚如何在 Objective C 类中从 Swift 类继承是的我知道如何将该 Swift 类声明为 objc以提高可见性在本例中所需的 S
iPhone GPS 在后台暂停后不会恢复

我的应用程序需要在后台跟踪用户位置变化并且只要用户四处移动就可以正常工作当用户停止并且CLLocationManager10 20 分钟左右后暂停本通知表明 void locationManagerDidPauseLocationUp
使用 stat_summary_hex 以离散色标显示最常见的值

我有一个包含 10k 行和 3 列的数据框 xpos ypos 和簇簇是从 0 到 9 的数字 http pastebin com NyQw29tb http pastebin com NyQw29tb 我想显示一个六边形图其中每个六边
@Async不会通过@ControllerAdvice调用全局异常

我有一个带有 Async 方法的服务类如果它调用方法抛出任何异常那么 ControllerAdvice 将不会调用全局异常处理但对于其他课程和服务它会正确拨打建议并发送电子邮件 Service public class FileSc
如何在 CentOS 中向 PHP 5 添加curl 支持

如何在 CentOS 中向 PHP 5 添加curl 支持安装curl和curl devel后我需要做哪些事情才能在PHP 5中设置curl 有同样的问题安装 php common 对我有用 yum install php commo
如何在 Internet 上托管 wcf 服务？

这可能是一个基本的网络问题但我对这个东西很陌生只是不知道答案我写了一个wcf服务和客户端当我将计算机的网络 IP 地址作为端点地址并从同一台计算机运行客户端和服务器时我可以使用 http 绑定之一并使服务正常工作现在我希望能够
Python GUI (glade) 显示 shell 进程的输出

我正在编写一个 python 应用程序它使用 subprocess Popen 对象运行多个子进程我有一个 Glade GUI 想要在 GUI 中实时显示这些命令的输出在 subprocess Popen 中运行谁能建议一种方法来做
使用await时线程返回线程池

但是使用 ASP NET Web Api 如果您的请求来自某一线程然后您等待某个函数并调用ConfigureAwait false 这可能会让你在不同的线程上返回 ApiController 函数的最终结果其实只是做一个awai
如果输入和复选框不为空，则启用提交按钮

下面我试图确保在允许用户提交之前我的复选框和输入都已填充它忽略我对复选框的检查并仅在填写字段后打开提交我究竟做错了什么 first last pass bind keyup function if allFilled register
如何修复 Android 应用中 X509TrustManager 的不安全实现

Google 通知我的 Android 应用程序中的 X509TrustManager 接口实现不安全需要按如下方式更改代码要正确处理 SSL 证书验证请更改中的代码自定义 X509TrustManager 接口的 checkSer

如何修复 Android 应用中 X509TrustManager 的不安全实现

如何修复 Android 应用中 X509TrustManager 的不安全实现 的相关文章

随机推荐

热门标签

如何修复 Android 应用中 X509TrustManager 的不安全实现的相关文章