前言
本文主要记录下再逆向研究 QQ 浏览器的网络拦截中,QQ 浏览器是如何同步 WkWebView 和原生的 cookie 。
为什么需要同步 cookies?
在 WebKit 内核中,网络请求是在一个独立的进程中进行的,WebKit 内核中有一套自己的 cookie 机制。在 iOS 原生也有一套 cookie 的管理机制 NSHTTPCookieStorage。由于 WebKit cookie 和 原生 cookie 是 2 套相互独立的机制,他们之间的 cookie 并不同步。当我们通过 NSURLProtol 拦截 WebKit 的网络请求时,网络请求所产生的相关 cookie,就都存储在 NSHTTPCookieStorage,而 NSHTTPCookieStorage 并不会和 WebKit 的 cookie 进行同步,这就导致了在 js 会无法通过 document.cookie 获取到相关的 cookie。并且, js 设置的 cookie 是存储在 WebKit cookie 中,原生发起网络请求时,也获取不到这部分 cookie。
因此,我们需要通过某种机制,将 WebKit cookies 和 NSHTTPCookieStorage 中的 cookies 进行同步。
QQ 浏览器的 Cookie 同步思路
同步 WebKit cookie 到 原生 cookie
通过研究 qq 浏览器的 cookie 同步的 js 代码,发现其主要是通过 hook js 中的 Documment.cookie 的 set 和 get 方法进行同步。具体代码如下:
Object.defineProperty(document, 'cookie', {
get: function() {
// 从 cookie list 中取出 cookie
var cookieList = cookieNameAndValueList();
return cookieList;
},
set: function(cookieString) {
if (typeof cookieString !== 'string') {
return;
}
// 将 cookie 存储到 cookie List 中
getCookieAndAddToCookieListFromString(cookieString);
var message = {};
message['cookie'] = cookieString;
// 将 cookie 发送给原生
__QB_Cookie_Handle__.postMessage(message);
},
configurable: true
});
整体思路是通过 hook Documment.cookie 的 set 和 get 方法,自己维护一个 cookie 列表,当设置新的 cookie 时,会将新的 cookie 存储在自己维护的 cookie 列表中,并通过 postMessage 将 cookie 同步给原生。当获取 cookie 时,会从自己维护的 cookie 列表中取值返回。
同步原生 cookie 到 WebKit cookie
QQ 浏览器会检查到原生的 HTTP response 的 header ,如果有 Set-Cookie 字段,会通过通知的方式,调用 [MttWKWebView qbSetCookie:] 方法,在该方法中,会执行下列的 js 语句
if (window.qb_Notify){
qb_Notify('seewo.com','csrfToken=WXcGJ7BxBBNb05gDICx6KNk8; path=/')
}
调用了 qb_Notify 方法,将 cookie 同步给 WebKit 中,而 qb_Notify 的具体实现如下:
window['qb_Notify'] = function(host, cookieString) {
// 判断是否数据同一个域名下的 cookie
if (isSuffix(document.location.hostname, host)) {
if (typeof cookieString == 'string') {
// 如果有多个 cookie,会根据 , 分割
var cookieStringList = cookieString.split(',');
var length = cookieStringList.length;
if (length > 0) {
for (var index = 0; index < length; index++) {
var cookieString = cookieStringList[index];
// 由于 cookie 的 Expires 设置为 Expires=Wed, 21 Oct 2015 07:28:00 GMT; 里面也包含了了 「,」,
//所以如果判断匹配到的 cookieString 里面包含了 Sun 等字段,则将当前字段和下一个字段进行组合,形成一个完整的 cookie
if (cookieString.match(/=Sun|=Mon|=Tue|=Wed|=Thu|=Fri|=Sat/) == null && (index < length - 1)) {
// 将 cookie String 转换成 obj 后,保存到自己维护的 cookie list 中
saveCookieStringToList(cookieString);
} else {
saveCookieStringToList(cookieString + ',' + cookieStringList[index + 1]);
index++;
}
}
}
}
}
// 将 cookie 同步给所有的 subFrame
var subFrames = document.querySelectorAll('iframe');
if (!subFrames) {
return;
}
var length = subFrames.length;
var index;
if (length > 0) {
for (index = 0; index < length; index++) {
var message = {};
message['syss_info'] = host;
message['sck_info'] = cookieString;
subFrames[index].contentWindow.postMessage(message, '*');
}
}
};
qb_Notify 的会分析从原生获取到的 cookie string,然后保存在自己维护的 cookie 列表。并将 cookie 同步给所有的 subFrame。
综上所诉,在 QQ 浏览器中,通过 hook document set 方法的方式,将在 js 中设置的 cookie 同步到 原生上。
通过在 js 中注入 qb_Notify 方法,当原生监听到请求的 response 中带有 Set-Cookie 字段时,原生直接调用已经注入的 qb_Notify 方法,将 cookie 同步给 Webkit。
manFrame 的 cookie 同步
通过上面的解析,WebKit cookie 和原生的 cookie 已经能够同步了。但是还有一个边界条件缺少考虑。
我们先理清一下整个流程。如下图所示:
从上图中我们可以看到,当如果 main frame 的 response 是带有 set-Cookie 字段时,按照逻辑,会尝试调用 qb_Notify,但是由于此时 main frame 还没有被 WebKit 加载, qb_Notify 实际上还没有注入到 js 中,所以此时是没有办法通过 qb_Notify 将原生 cookie 同步给 WebKit,为了解决这个问题, QQ 浏览器在 cookie 同步相关的 js 执行时,在 js 层会主动发起一个特殊的网络请求,原生拦截到这个特殊的网络请求后,会返回这个特殊网络请求中指定的 url 的 cookie,具体代码如下:
function() {
function asyncGetCookieFromNative(A) {
/**
* 忽略部分代码
*/
}
function syncGetCookieFromNative(B) {
var reqeust = new XMLHttpRequest();
if (reqeust != null) {
reqeust.open('GET', B, false);
reqeust.send();
if (reqeust.status == 200) {
var responseText = reqeust.responseText;
if (typeof responseText == 'undefined' || responseText.length == 0) {
return;
}
var cookieList = JSON.parse(responseText);
if (typeof cookieList === 'object') {
addCookieList(cookieList);
}
}
}
}
function getCookieFromNative(isAsync) {
var protocol = document.location.protocol;
var host = document.location.host;
if (typeof protocol !== 'string' || typeof host !== 'string') {
return;
}
// 创建一个特殊的网络请求,网络请求后面携带了当前的网页的 href 地址
if (isAsync) {
asyncGetCookieFromNative(protocol + '//' + host + '/9CB4F2575FDD4C5BA05A63E96FC96E70/?' + document.location.href);
} else {
syncGetCookieFromNative(protocol + '//' + host + '/9CB4F2575FDD4C5BA05A63E96FC96E70/?' + document.location.href);
}
}
/**
* 忽略部分代码
*/
getCookieFromNative(false);
} ()
由于原生会拦截 WebKit 的所有网络请求,所以当 WebKit 发起的带有特殊字符(9CB4F2575FDD4C5BA05A63E96FC96E70)被原生拦截到时,原生可以直接获取到 search 中的 url,通过 url 在 NSHTTPCookieStorage 中获取到 cookies 后,在通过 response 返回给 Webkit。从而达到 WebKit 主动先原生拉取 cookie 的目的。
