阅读 1065

iOS 浏览器的 Cookie 同步思路

前言

本文主要记录下研究浏览器的网络拦截中, 浏览器是如何同步 WkWebView 和原生的 cookie 。

为什么需要同步 cookies?

在 WebKit 内核中,网络请求是在一个独立的进程中进行的,WebKit 内核中有一套自己的 cookie 机制。在 iOS 原生也有一套 cookie 的管理机制 NSHTTPCookieStorage。由于 WebKit cookie 和 原生 cookie 是 2 套相互独立的机制,他们之间的 cookie 并不同步。当我们通过 NSURLProtol 拦截 WebKit 的网络请求时,网络请求所产生的相关 cookie,就都存储在 NSHTTPCookieStorage,而 NSHTTPCookieStorage 并不会和 WebKit 的 cookie 进行同步,这就导致了在 js 会无法通过 document.cookie 获取到相关的 cookie。并且, js 设置的 cookie 是存储在 WebKit cookie 中,原生发起网络请求时,也获取不到这部分 cookie。

因此,我们需要通过某种机制,将 WebKit cookies 和 NSHTTPCookieStorage 中的 cookies 进行同步。

浏览器的 Cookie 同步思路

同步 WebKit cookie 到 原生 cookie

通过研究 浏览器的 cookie 同步的 js 代码,发现其主要是通过 hook js 中的 Documment.cookie 的 set 和 get 方法进行同步。具体代码如下:

Object.defineProperty(document, 'cookie', {
    get: function() {
        // 从 cookie list 中取出 cookie
        var cookieList = cookieNameAndValueList();
        return cookieList;
    },
    set: function(cookieString) {
        if (typeof cookieString !== 'string') {
            return;
        }
        // 将 cookie 存储到 cookie List 中
        getCookieAndAddToCookieListFromString(cookieString);
        var message = {};
        message['cookie'] = cookieString;
        // 将 cookie 发送给原生
        __B_Cookie_Handle__.postMessage(message);
    },
    configurable: true
});
复制代码

整体思路是通过 hook Documment.cookie 的 set 和 get 方法,自己维护一个 cookie 列表,当设置新的 cookie 时,会将新的 cookie 存储在自己维护的 cookie 列表中,并通过 postMessage 将 cookie 同步给原生。当获取 cookie 时,会从自己维护的 cookie 列表中取值返回。

同步原生 cookie 到 WebKit cookie

浏览器会检查到原生的 HTTP response 的 header ,如果有 Set-Cookie 字段,会通过通知的方式,调用 [xxxWebView bSetCookie:] 方法,在该方法中,会执行下列的 js 语句

if (window.b_Notify){
    b_Notify('seewo.com','csrfToken=WXcGJ7BxBBNb05gDICx6KNk8; path=/')
}
复制代码

调用了 b_Notify 方法,将 cookie 同步给 WebKit 中,而 b_Notify 的具体实现如下:

window['b_Notify'] = function(host, cookieString) {
    // 判断是否数据同一个域名下的 cookie 
    if (isSuffix(document.location.hostname, host)) {
        if (typeof cookieString == 'string') {
            // 如果有多个 cookie,会根据 , 分割
            var cookieStringList = cookieString.split(',');
            var length = cookieStringList.length;
            if (length > 0) {
                for (var index = 0; index < length; index++) {
                    var cookieString = cookieStringList[index];
                    // 由于 cookie 的 Expires 设置为 Expires=Wed, 21 Oct 2015 07:28:00 GMT; 里面也包含了了 「,」,
                    //所以如果判断匹配到的 cookieString 里面包含了 Sun 等字段,则将当前字段和下一个字段进行组合,形成一个完整的 cookie 
                    if (cookieString.match(/=Sun|=Mon|=Tue|=Wed|=Thu|=Fri|=Sat/) == null && (index < length - 1)) {
                        // 将 cookie String 转换成 obj 后,保存到自己维护的 cookie list 中
                        saveCookieStringToList(cookieString);
                    } else {
                        saveCookieStringToList(cookieString + ',' + cookieStringList[index + 1]);
                        index++;
                    }
                }
            }
        }
    }

    // 将 cookie 同步给所有的 subFrame
    var subFrames = document.querySelectorAll('iframe');
    if (!subFrames) {
        return;
    }
    var length = subFrames.length;
    var index;
    if (length > 0) {
        for (index = 0; index < length; index++) {
            var message = {};
            message['syss_info'] = host;
            message['sck_info'] = cookieString;
            subFrames[index].contentWindow.postMessage(message, '*');
        }
    }
};
复制代码

b_Notify 的会分析从原生获取到的 cookie string,然后保存在自己维护的 cookie 列表。并将 cookie 同步给所有的 subFrame。

综上所诉,在 浏览器中,通过 hook document set 方法的方式,将在 js 中设置的 cookie 同步到 原生上。 通过在 js 中注入 b_Notify 方法,当原生监听到请求的 response 中带有 Set-Cookie 字段时,原生直接调用已经注入的 b_Notify 方法,将 cookie 同步给 Webkit。

manFrame 的 cookie 同步

通过上面的解析,WebKit cookie 和原生的 cookie 已经能够同步了。但是还有一个边界条件缺少考虑。 我们先理清一下整个流程。如下图所示:

image.png

从上图中我们可以看到,当如果 main frame 的 response 是带有 set-Cookie 字段时,按照逻辑,会尝试调用 b_Notify,但是由于此时 main frame 还没有被 WebKit 加载, b_Notify 实际上还没有注入到 js 中,所以此时是没有办法通过 b_Notify 将原生 cookie 同步给 WebKit,为了解决这个问题, 浏览器在 cookie 同步相关的 js 执行时,在 js 层会主动发起一个特殊的网络请求,原生拦截到这个特殊的网络请求后,会返回这个特殊网络请求中指定的 url 的 cookie,具体代码如下:


function() {

    function asyncGetCookieFromNative(A) {
        /**
     * 忽略部分代码
     */
    }
    function syncGetCookieFromNative(B) {
        var reqeust = new XMLHttpRequest();
        if (reqeust != null) {
            reqeust.open('GET', B, false);
            reqeust.send();
            if (reqeust.status == 200) {
                var responseText = reqeust.responseText;
                if (typeof responseText == 'undefined' || responseText.length == 0) {
                    return;
                }
                var cookieList = JSON.parse(responseText);
                if (typeof cookieList === 'object') {
                    addCookieList(cookieList);
                }
            }
        }
    }
    function getCookieFromNative(isAsync) {
        var protocol = document.location.protocol;
        var host = document.location.host;
        if (typeof protocol !== 'string' || typeof host !== 'string') {
            return;
        }
        // 创建一个特殊的网络请求,网络请求后面携带了当前的网页的 href 地址
        if (isAsync) {
            asyncGetCookieFromNative(protocol + '//' + host + '/9CB4F2575FDD4C5BA05A63E96FC96E70/?' + document.location.href);
        } else {
            syncGetCookieFromNative(protocol + '//' + host + '/9CB4F2575FDD4C5BA05A63E96FC96E70/?' + document.location.href);
        }
    }

    /**
     * 忽略部分代码
     */
    getCookieFromNative(false);
} ()

复制代码

由于原生会拦截 WebKit 的所有网络请求,所以当 WebKit 发起的带有特殊字符(9CB4F2575FDD4C5BA05A63E96FC96E70)被原生拦截到时,原生可以直接获取到 search 中的 url,通过 url 在 NSHTTPCookieStorage 中获取到 cookies 后,在通过 response 返回给 Webkit。从而达到 WebKit 主动向原生拉取 cookie 的目的。