Android 提供了一些 API 来帮助您管理在应用中显示网络内容的 WebView 对象。
此页面介绍如何使用这些 API 更有效地使用 WebView 对象,从而提高应用的稳定性和安全性。
版本 API
从 Android 7.0(API 级别 24)开始,用户可以在多个不同的软件包中选择一个来在 WebView 对象中显示网络内容。 AndroidX.webkit 库包含 getCurrentWebViewPackage() 方法,用于获取与在应用中显示网络内容的软件包相关的信息。此方法在分析仅在应用尝试使用特定软件包的 WebView 实现来显示网络内容时发生的错误时非常有用。
要使用此方法,请添加以下代码段中所示的逻辑
Kotlin
val webViewPackageInfo = WebViewCompat.getCurrentWebViewPackage(appContext)
Log.d("MY_APP_TAG", "WebView version: ${webViewPackageInfo.versionName}")
Java
PackageInfo webViewPackageInfo = WebViewCompat.getCurrentWebViewPackage(appContext);
Log.d("MY_APP_TAG", "WebView version: " + webViewPackageInfo.versionName);
Google 安全浏览服务
为了为您的用户提供更安全的浏览体验,WebView 对象使用 Google 安全浏览 验证 URL,这使您的应用可以在用户尝试导航到潜在的不安全网站时向用户显示警告。
虽然 EnableSafeBrowsing 的默认值为 true,但在某些情况下,您可能只想根据条件启用安全浏览或禁用它。Android 8.0(API 级别 26)及更高版本支持使用 setSafeBrowsingEnabled() 为单个 WebView 对象切换安全浏览。
如果希望所有 WebView 对象都选择退出安全浏览检查,请将以下 <meta-data> 元素添加到应用的清单文件中
<manifest>
<application>
<meta-data android:name="android.webkit.WebView.EnableSafeBrowsing"
android:value="false" />
...
</application>
</manifest>
定义编程操作
当 WebView 的实例尝试加载 Google 分类为已知威胁的页面时,WebView 默认会显示一个警告用户已知威胁的插页式广告。此屏幕使用户可以选择无论如何加载 URL 或返回到以前的安全页面。
如果您以 Android 8.1(API 级别 27)或更高版本为目标,则可以通过以下方式以编程方式定义应用如何响应已知威胁
- 您可以控制应用是否将已知威胁报告给安全浏览。
- 您可以使您的应用每次遇到被分类为已知威胁的 URL 时自动执行特定操作,例如返回安全状态。
以下代码段显示了如何指示应用的 WebView 实例在遇到已知威胁后始终返回安全状态
MyWebActivity.java
Kotlin
private lateinit var superSafeWebView: WebView
private var safeBrowsingIsInitialized: Boolean = false
// ...
override fun onCreate(savedInstanceState: Bundle?) {
super.onCreate(savedInstanceState)
superSafeWebView = WebView(this)
superSafeWebView.webViewClient = MyWebViewClient()
safeBrowsingIsInitialized = false
if (WebViewFeature.isFeatureSupported(WebViewFeature.START_SAFE_BROWSING)) {
WebViewCompat.startSafeBrowsing(this, ValueCallback<Boolean> { success ->
safeBrowsingIsInitialized = true
if (!success) {
Log.e("MY_APP_TAG", "Unable to initialize Safe Browsing!")
}
})
}
}
Java
private WebView superSafeWebView;
private boolean safeBrowsingIsInitialized;
// ...
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
superSafeWebView = new WebView(this);
superSafeWebView.setWebViewClient(new MyWebViewClient());
safeBrowsingIsInitialized = false;
if (WebViewFeature.isFeatureSupported(WebViewFeature.START_SAFE_BROWSING)) {
WebViewCompat.startSafeBrowsing(this, new ValueCallback<Boolean>() {
@Override
public void onReceiveValue(Boolean success) {
safeBrowsingIsInitialized = true;
if (!success) {
Log.e("MY_APP_TAG", "Unable to initialize Safe Browsing!");
}
}
});
}
}
MyWebViewClient.java
Kotlin
class MyWebViewClient : WebViewClientCompat() {
// Automatically go "back to safety" when attempting to load a website that
// Google identifies as a known threat. An instance of WebView calls this
// method only after Safe Browsing is initialized, so there's no conditional
// logic needed here.
override fun onSafeBrowsingHit(
view: WebView,
request: WebResourceRequest,
threatType: Int,
callback: SafeBrowsingResponseCompat
) {
// The "true" argument indicates that your app reports incidents like
// this one to Safe Browsing.
if (WebViewFeature.isFeatureSupported(WebViewFeature.SAFE_BROWSING_RESPONSE_BACK_TO_SAFETY)) {
callback.backToSafety(true)
Toast.makeText(view.context, "Unsafe web page blocked.", Toast.LENGTH_LONG).show()
}
}
}
Java
public class MyWebViewClient extends WebViewClientCompat {
// Automatically go "back to safety" when attempting to load a website that
// Google identifies as a known threat. An instance of WebView calls this
// method only after Safe Browsing is initialized, so there's no conditional
// logic needed here.
@Override
public void onSafeBrowsingHit(WebView view, WebResourceRequest request,
int threatType, SafeBrowsingResponseCompat callback) {
// The "true" argument indicates that your app reports incidents like
// this one to Safe Browsing.
if (WebViewFeature.isFeatureSupported(WebViewFeature.SAFE_BROWSING_RESPONSE_BACK_TO_SAFETY)) {
callback.backToSafety(true);
Toast.makeText(view.getContext(), "Unsafe web page blocked.",
Toast.LENGTH_LONG).show();
}
}
}
HTML5 地理位置 API
对于以 Android 6.0(API 级别 23)及更高版本为目标的应用,地理位置 API 仅在安全来源(例如 HTTPS)上受支持。对非安全来源上的地理位置 API 的任何请求都会自动拒绝,而不会调用相应的 onGeolocationPermissionsShowPrompt() 方法。
选择退出指标收集
WebView 能够在用户同意时将匿名诊断数据上传到 Google。对于每个实例化 WebView 的应用,都会按应用收集数据。您可以通过在清单的 <application> 元素中创建以下标记来选择退出此功能
<manifest>
<application>
...
<meta-data android:name="android.webkit.WebView.MetricsOptOut"
android:value="true" />
</application>
</manifest>
仅当用户同意 **且** 应用未选择退出时,才会从应用上传数据。有关选择退出诊断数据报告的更多信息,请参阅 WebView 报告中的用户隐私。
终止处理 API
终止处理 API 处理 WebView 对象的渲染器进程消失的情况,这可能是因为系统终止了渲染器以回收必要的内存,或者是因为渲染器进程崩溃。通过使用此 API,您可以让应用继续执行,即使渲染器进程消失了。
如果渲染器在加载特定网页时崩溃,则尝试再次加载同一网页可能会导致新的 WebView 对象表现出相同的渲染崩溃行为。
以下代码段说明了如何在 Activity 中使用此 API
Kotlin
inner class MyRendererTrackingWebViewClient : WebViewClient() {
private var mWebView: WebView? = null
override fun onRenderProcessGone(view: WebView, detail: RenderProcessGoneDetail): Boolean {
if (!detail.didCrash()) {
// Renderer is killed because the system ran out of memory. The app
// can recover gracefully by creating a new WebView instance in the
// foreground.
Log.e("MY_APP_TAG", ("System killed the WebView rendering process " +
"to reclaim memory. Recreating..."))
mWebView?.also { webView ->
val webViewContainer: ViewGroup = findViewById(R.id.my_web_view_container)
webViewContainer.removeView(webView)
webView.destroy()
mWebView = null
}
// By this point, the instance variable "mWebView" is guaranteed to
// be null, so it's safe to reinitialize it.
return true // The app continues executing.
}
// Renderer crashes because of an internal error, such as a memory
// access violation.
Log.e("MY_APP_TAG", "The WebView rendering process crashed!")
// In this example, the app itself crashes after detecting that the
// renderer crashed. If you handle the crash more gracefully and let
// your app continue executing, you must destroy the current WebView
// instance, specify logic for how the app continues executing, and
// return "true" instead.
return false
}
}
Java
public class MyRendererTrackingWebViewClient extends WebViewClient {
private WebView mWebView;
@Override
public boolean onRenderProcessGone(WebView view,
RenderProcessGoneDetail detail) {
if (!detail.didCrash()) {
// Renderer is killed because the system ran out of memory. The app
// can recover gracefully by creating a new WebView instance in the
// foreground.
Log.e("MY_APP_TAG", "System killed the WebView rendering process " +
"to reclaim memory. Recreating...");
if (mWebView != null) {
ViewGroup webViewContainer =
(ViewGroup) findViewById(R.id.my_web_view_container);
webViewContainer.removeView(mWebView);
mWebView.destroy();
mWebView = null;
}
// By this point, the instance variable "mWebView" is guaranteed to
// be null, so it's safe to reinitialize it.
return true; // The app continues executing.
}
// Renderer crashes because of an internal error, such as a memory
// access violation.
Log.e("MY_APP_TAG", "The WebView rendering process crashed!");
// In this example, the app itself crashes after detecting that the
// renderer crashed. If you handle the crash more gracefully and let
// your app continue executing, you must destroy the current WebView
// instance, specify logic for how the app continues executing, and
// return "true" instead.
return false;
}
}
渲染器重要性 API
当 WebView 对象 在多进程模式下运行 时,您在应用如何处理内存不足情况方面具有一定的灵活性。您可以使用 Android 8.0 中引入的渲染器重要性 API 为分配给特定 WebView 对象的渲染器设置优先级策略。特别是,当显示应用 WebView 对象的渲染器被终止时,您可能希望应用的主要部分继续执行。例如,如果您预计长时间不显示 WebView 对象,则可以这样做,以便系统可以回收渲染器正在使用的内存。
以下代码段显示了如何为与应用 WebView 对象关联的渲染器进程分配优先级
Kotlin
val myWebView: WebView = ... myWebView.setRendererPriorityPolicy(RENDERER_PRIORITY_BOUND, true)
Java
WebView myWebView; myWebView.setRendererPriorityPolicy(RENDERER_PRIORITY_BOUND, true);
在此特定代码段中,渲染器的优先级与应用的默认优先级相同,或与其绑定。 true 参数在关联的 WebView 对象不再可见时将渲染器的优先级降低到 RENDERER_PRIORITY_WAIVED。换句话说, true 参数表示您的应用不关心系统是否保持渲染器进程处于活动状态。实际上,此较低的优先级级别使得在内存不足的情况下渲染器进程很可能会被终止。
要详细了解系统如何处理低内存情况,请参阅 进程和应用生命周期。