如何在嵌入式WebView中显示HTTPS请求的证书

Question

在我的 Mac OS X 应用程序中，我使用嵌入式 WebView 为不同的服务进行 OAuth 登录。其中大多数使用 HTTPS 请求来获取 Web 视图中显示的授权表单。

现在我需要在连接安全后立即显示一个小锁，就像在 Safari 中一样。单击该锁应打开一个 SFCertificatePanel，其中显示用于该请求的证书。

这可以在 OS X 的 WebView 中完成吗？我检查了所有代表，但没有找到发送给他们的可用消息来显示该锁定图标或获取证书。

感谢您的帮助！

Answer 1

对我来说，这听起来是一个相当可疑的想法。考虑到可能的用户行为和用户理解（例如，用户对安全性的心理模型），我怀疑它在实践中并不安全。

这是核心问题。您的应用程序窗口中没有任何位置可以显示用户可以信任的锁，并且用户会理解并知道它是不可欺骗的，并且用户知道要集中注意力。恶意网站很容易在其页面上包含锁定图标的图像，这可能会欺骗用户，让他们认为已使用 HTTPS，而实际上并未使用。恶意网站甚至可以使图标可点击，如果用户点击它，就会弹出欺骗性的证书信息。大多数用户不希望检测到此类攻击。

相反，如果您知道某个特定站点需要使用 HTTPS，我建议您使用 https:// URL 加载原始 URL。由于您指定了要在 WebView 中加载的 URL，因此您知道它将使用 SSL。据我所知，这实际上是您在应用程序中可以做的最好的事情。至少，鉴于此处指定的问题描述，我想不出更好的方法。