一、背景介绍
ArkWeb(方舟 Web)提供的 Web 组件,是鸿蒙应用中用于加载并展示 Web 页面内容的核心组件,其应用场景覆盖多类开发需求,具体如下:
应用集成 Web 页面:应用可在界面中嵌入 Web 组件加载 Web 页面内容,有效降低开发成本,提升开发与运维效率。
浏览器网页浏览场景:浏览器类应用可通过 Web 组件打开第三方 Web 页面,支持无痕浏览、广告拦截等核心功能。
小程序场景:小程序宿主应用可借助 Web 组件实现小程序页面渲染、同层渲染、视频托管等核心功能。
当应用通过 ArkWeb 组件加载 HTTPS 协议 URL(如https://www.baidu.com)时,在 TLS 握手校验阶段,ArkWeb 会调用系统预置的 CA 根证书,对服务端返回的证书链进行完整性、合法性校验。
若校验失败(常见于服务器部署自签名证书的场景,报错日志详见图示),ArkWeb 会通过onSslErrorEventReceive与onSslErrorEvent两个回调接口通知应用,应用需在回调中进行合规处理。
二、核心回调接口说明
两个回调接口声明如下,详情可参考:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 - 华为HarmonyOS开发者
2.1 onSslErrorEventReceive
onSslErrorEventReceive(callback: Callback
通知用户加载资源时发生 SSL 错误,只支持主资源。
如果需要支持子资源,请使用OnSslErrorEvent接口。
说明
主资源:浏览器加载网页的入口文件,通常是 HTML 文档。
子资源:主资源中引用的依赖文件,由主资源解析过程中遇到特定标签时触发加载。
应用程序需要调用handler.handleCancel()或handler.handleConfirm()处理该回调,如果没有处理该回调则默认取消资源加载。handleConfirm()或者 handleCancel()的行为可能会被记录下来,以便为将来的 SSL 错误做出响应。
应用程序可以用于显示自定义错误页面或静默记录问题。
系统能力: SystemCapability.Web.Webview.Core
参数:
2.2 onSslErrorEvent
onSslErrorEvent(callback: OnSslErrorEventCallback)
通知用户加载资源(主资源+子资源)时发生 SSL 错误,如果只想处理主资源的 SSL 错误,请用isMainFrame字段进行区分。
说明
主资源:浏览器加载网页的入口文件,通常是 HTML 文档。
子资源:主资源中引用的依赖文件,由主资源解析过程中遇到特定标签时触发加载。
系统能力: SystemCapability.Web.Webview.Core
参数:
展开
三、mixedMode 混合内容模式说明
Web 组件加载 HTTPS URL 时,若页面资源、脚本中包含 HTTP 协议内容,会引入安全风险。ArkWeb 提供mixedMode属性用于配置混合内容加载策略,具体配置参考官方文档:Enums-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 - 华为HarmonyOS开发者
MixedMode
混合内容模式。
系统能力: SystemCapability.Web.Webview.Core
四、不安全实现及风险分析
HTTPS 协议的安全性核心依赖证书链校验、安全 TLS 协议及加密算法。以下为两种典型的不安全实现方式,均会引入中间人攻击风险,导致通信数据被劫持、篡改或泄露。
4.1 SSL 错误回调处理不当
收到 SSL 错误通知时,若直接忽略错误并调用event.handler.handleConfirm()继续加载,会绕过证书校验机制,直接引入中间人攻击风险。
不安全示例代码:
Web({ src: 'https://xxx.example.com', controller: this.controller }) .onSslErrorEventReceive((event) => { event.handler.handleConfirm(); // 直接忽略SSL错误,继续加载,存在安全风险 })正确实现方式:不实现onSslErrorEventReceive或onSslErrorEvent回调(系统默认取消资源加载);或在回调中调用event.handler.handleCancel()主动取消加载,阻断不安全连接。
正确示例代码:
Web({ src: 'https://xxx.example.com', controller: this.controller }) .onSslErrorEventReceive((event) => { event.handler.handleCancel(); // 收到SSL错误,取消加载,规避安全风险 })4.2 mixedMode 配置不当
将mixedMode配置为MixedMode.All(宽松模式),允许加载 HTTP 与 HTTPS 混合内容,会导致 HTTPS 通信的安全性被破坏,引入中间人攻击风险。
不安全示例代码:
Web({ src: 'https://xxx.example.com', controller: this.controller }) .onSslErrorEventReceive((event) => { event.handler.handleCancel(); }) .mixedMode(MixedMode.All) // 宽松模式,允许混合内容加载,存在安全风险正确实现方式:将mixedMode配置为MixedMode.None(严格模式),同时推动服务器将所有 HTTP 资源链接修改为 HTTPS 协议,规避混合内容安全风险。
正确示例代码:
Web({ src: 'https://xxx.example.com', controller: this.controller }) .onSslErrorEventReceive((event) => { event.handler.handleCancel(); }) .mixedMode(MixedMode.None) // 严格模式,禁止混合内容加载,保障通信安全五、安全建议
基于上述分析,为保障 Web 组件加载 URL 过程中的网络通信安全,结合鸿蒙应用开发规范,提出以下安全建议:
SSL 错误回调处理:禁止在
onSslErrorEventReceive或onSslErrorEvent回调中调用event.handler.handleConfirm(),建议使用系统默认配置(不实现回调),或主动调用handleCancel()取消加载。mixedMode 配置:禁止将
mixedMode配置为MixedMode.All,建议使用系统默认配置,或显式配置为MixedMode.None,从根源规避混合内容安全风险。
六、参考文档
ArkWeb Web 组件事件说明:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 - 华为HarmonyOS开发者
ArkWeb Web 组件 mixedMode 配置:Enums-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 - 华为HarmonyOS开发者
其他鸿蒙应用安全编码专题文章请参考:
https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221
