[ol]webview/和 okhttp 使用自签证书。然后证书绑定。用户使用的接口,比如用户要访问自己的 webdav 或者 https 网盘接口,这个时候手动加载系统和用户证书。 即使泄漏也没有关系。 禁止信任用户证书。apk 完整性校验。apk 不完整的情况。禁止发生发起任何请求。 [/ol] 这种方案基本可以防止 99%的抓包。 用户 root 后,很难对自签证书来做中间人攻击。 除非 hook 系统证书 api. 然后修改证书的 md5 ,欺骗证书绑定。 目前看这种方案还有有什么漏洞吗? 证书, 抓包, 用户, webDAV
