وب در اندروید

چگونه می توان از اجزای مختلف برای ارائه محتوای وب در برنامه های اندروید استفاده کرد.

پلتفرم اندروید بیش از ده سال است که وجود داشته است و از همان روزهای ابتدایی آن از وب پشتیبانی زیادی داشته است. همراه با WebView، مؤلفه‌ای که به توسعه‌دهندگان اجازه می‌دهد از وب در داخل برنامه‌های اندرویدی خود استفاده کنند، عرضه شد. بیشتر از آن، اندروید به توسعه دهندگان اجازه می دهد تا موتور مرورگر خود را وارد پلتفرم کنند و رقابت و نوآوری را تقویت کنند.

توسعه دهندگان می توانند وب را به طرق مختلف در برنامه های اندروید خود قرار دهند. WebView اغلب برای ارائه تبلیغات، به عنوان یک مؤلفه طرح‌بندی که همراه با عناصر رابط کاربری Android استفاده می‌شود، یا برای بسته‌بندی بازی‌های HTML 5 استفاده می‌شود. تب های سفارشی به توسعه دهندگان امکان می دهد مرورگرهای درون برنامه ای بسازند و یک تجربه ناوبری یکپارچه به محتوای وب شخص ثالث ارائه دهند و فعالیت وب مورد اعتماد به توسعه دهندگان اجازه می دهد از برنامه های وب پیشرفته (PWA) خود در برنامه های Android استفاده کنند که می توانند از فروشگاه Play بارگیری شوند. .

WebView به توسعه دهندگان امکان دسترسی به HTML، CSS و جاوا اسکریپت مدرن را در داخل برنامه های اندرویدی خود می دهد و اجازه می دهد محتوا در داخل APK ارسال شود یا در اینترنت میزبانی شود. این یکی از انعطاف‌پذیرترین و قدرتمندترین مؤلفه‌های اندروید است که می‌تواند برای بسیاری از مواردی که محتوای وب در برنامه اندروید گنجانده شده است، استفاده شود. از تقویت خدمات تبلیغاتی مانند AdMob تا ساخت و ارسال بازی‌های کامل HTML5 که از APIهای مدرن مانند WebGL استفاده می‌کنند.

اما، هنگامی که برای ایجاد یک مرورگر درون برنامه ای یا گنجاندن PWA در یک برنامه اندرویدی استفاده می شود، WebView فاقد امنیت، ویژگی ها و قابلیت های پلت فرم وب است.

چالش مرورگر درون برنامه ای

با گذشت زمان، بیشتر و بیشتر توسعه‌دهندگان تجربیات مرورگر خود را با گنجاندن محتوای شخص ثالث در برنامه Android خود ایجاد کرده‌اند، با هدف ایجاد تجربه یکپارچه‌تر برای کاربران خود هنگام پیمایش به وب‌سایت‌های شخص ثالث. این تجربیات به عنوان مرورگرهای درون برنامه ای شناخته شدند.

WebView پشتیبانی گسترده ای از پشته فناوری وب مدرن دارد و از بسیاری از API های وب مدرن مانند WebGL پشتیبانی می کند. اما WebView در درجه اول یک جعبه ابزار وب UI است. این به معنای پشتیبانی نیست - و از همه ویژگی های پلت فرم وب پشتیبانی نمی کند . هنگامی که یک API از قبل دارای یک جایگزین در سطح سیستم عامل، مانند بلوتوث وب است، یا نیاز به پیاده سازی رابط کاربری مرورگر دارد، مانند اعلان های فشار، ممکن است پشتیبانی نشود. با تکامل پلتفرم وب و افزودن ویژگی‌های بیشتری که فقط برای برنامه‌های اندرویدی در دسترس بودند، این شکاف حتی بیشتر می‌شود. از آنجایی که توسعه دهندگان برنامه کنترل نمی کنند که چه ویژگی هایی هنگام باز کردن محتوای شخص ثالث استفاده می شود، WebView را برای مرورگرهای درون برنامه ای یا باز کردن برنامه های وب پیشرفته انتخاب ضعیفی می کند. حتی اگر WebView از همه ویژگی‌های پلتفرم وب پشتیبانی می‌کرد، توسعه‌دهندگان همچنان باید کد بنویسند و رابط کاربری خود را برای عملکردهایی مانند مجوزها یا اعلان‌های فشاری پیاده‌سازی کنند، که دستیابی به سازگاری را برای کاربران دشوار می‌کند.

ملاحظات امنیتی برای استفاده از WebView به عنوان یک مرورگر درون برنامه ای

WebView به برنامه embedder دسترسی کامل به محتوای رندر شده از جمله کوکی ها و DOM می دهد. اینها ویژگی های قدرتمندی هستند که به سطح بالایی از اعتماد کاربران نیاز دارند.

از آنجایی که WebView به عنوان چارچوبی برای ساخت مرورگرها در نظر گرفته نشده است، فاقد ویژگی های امنیتی موجود در مرورگرهای مدرن است.

معماری چند فرآیندی و جداسازی سایت

مرورگرها به گونه ای طراحی شده اند که هنگام ارائه و اجرای محتوای غیرقابل اعتماد، ایمن باشند. برای اطمینان از ایمن ماندن کاربر هنگام پیمایش محتوایی که به طور بالقوه غیرقابل اعتماد یا حتی مخرب است، مرورگرهای مدرن از تکنیک هایی مانند استفاده از معماری چند فرآیندی و جداسازی سایت استفاده می کنند.

بدون معماری چند فرآیندی، خرابی ناشی از صفحه وب می‌تواند کل برنامه مرورگر را خراب کند یا از یک آسیب‌پذیری برای در دست گرفتن کنترل کل دستگاه سوء استفاده شود. جداسازی سایت لایه دیگری از امنیت را اضافه می کند که دسترسی سایت های غیرقابل اعتماد و سرقت اطلاعات از سایت های دیگر را سخت تر می کند.

تا قبل از Android 8.0 Oreo، رندر WebView از همان فرآیند برنامه embedder استفاده می کرد. در نسخه‌های جدیدتر سیستم‌عامل، و زمانی که دستگاه‌ها توانایی کافی را داشته باشند، رندر در فرآیند متفاوتی اجرا می‌شود. با این حال، هنوز یک فرآیند واحد بین تمام صفحات و نمونه‌های WebView که آنها را اجرا می‌کنند به اشتراک گذاشته می‌شود که اجرای کامل جداسازی سایت را غیرممکن می‌کند.

فقدان معماری چند فرآیندی و ایزوله‌سازی سایت برای برنامه‌هایی که محتوایی را که متعلق به آن‌ها هستند و به آنها اعتماد دارند، مشکلی نیست، اما می‌تواند برای برنامه‌هایی که محتوای غیرقابل اعتماد شخص ثالث را اجرا می‌کنند، مانند مرورگرهای درون‌برنامه، مشکل ایجاد کند و کاربران را در معرض دید قرار دهد. به آسیب‌پذیری‌هایی مانند Meltdown و Spectre ، که می‌توانند برای سرقت کوکی‌ها، جزئیات بانکی، اطلاعات شخصی و موارد دیگر استفاده شوند.

نشانگرهای UI ایمن

همچنین ارائه شاخص های امنیتی خوب به کاربران مهم است و مرورگرها تلاش زیادی می کنند و همیشه در این زمینه در حال پیشرفت هستند. با این حال، WebView فاقد یک API برای بررسی ایمن بودن اتصال سایت است که به توسعه دهندگان برنامه اجازه می دهد شاخص های امنیتی قابل اعتمادی ایجاد کنند. فقدان چنین API می تواند باعث شود، برای مثال، URL نمایش داده شده در نوار آدرس با صفحه نمایش داده شده به کاربر مطابقت نداشته باشد، حتی از طریق اتصالات امن HTTPS.

یکی دیگر از گزینه های موجود برای توسعه دهندگان، تعبیه یک موتور مرورگر در برنامه خود است. این رویکرد علاوه بر افزایش اندازه برنامه، پیچیده و زمان‌بر است.

تب های سفارشی به عنوان راه حلی برای مرورگرهای درون برنامه ای

تب های سفارشی در کروم 45 معرفی شد و به توسعه دهندگان این امکان را می دهد تا از برگه ای از مرورگر پیش فرض کاربر به عنوان بخشی از برنامه خود استفاده کنند. تب های سفارشی در ابتدا توسط کروم راه اندازی شد و به همین دلیل به عنوان "برگه های سفارشی کروم" شناخته می شد. امروزه این یک API اندروید است و اکثر مرورگرهای محبوب از تب های سفارشی، از جمله کروم، فایرفاکس، اج، و اینترنت سامسونگ پشتیبانی می کنند، بنابراین بهتر است آن را فقط «برگه های سفارشی» بنامیم.

تب های سفارشی به توسعه دهندگان کمک می کند تا محتوای وب را به طور یکپارچه در تجربه برنامه خود ادغام کنند. آن‌ها همچنین به توسعه‌دهندگان اجازه می‌دهند تا فعالیتی را که در آن محتوای وب نشان داده می‌شود، سفارشی کنند و به آن‌ها اجازه می‌دهند رنگ نوار ابزار، دکمه‌های عمل، انیمیشن انتقال و موارد دیگر را سفارشی کنند.

آنها همچنین ویژگی هایی را ارائه می دهند که قبلاً هنگام استفاده از WebView یا تعبیه موتور مرورگر در دسترس نبودند. از آنجایی که مرورگر درون‌برنامه توسط مرورگر کاربر کار می‌کند، Custom Tabs فضای ذخیره‌سازی را با مرورگر به اشتراک می‌گذارد، بنابراین کاربران نیازی به ورود مجدد به وب‌سایت‌های مورد علاقه خود هر بار که یکی از برنامه‌های نصب‌شده‌شان جلسه مرور درون‌برنامه‌ای را شروع می‌کند، ندارند.

بر خلاف WebViews، Custom Tabs از تمام ویژگی‌های پلتفرم وب و APIهایی که توسط مرورگر پشتیبانی می‌شود، پشتیبانی می‌کند.

برنامه های وب پیشرو را با استفاده از فعالیت وب مورد اعتماد باز کنید

برنامه‌های وب پیشرو رفتارها و قابلیت‌های بسیاری را که زمانی فقط برای برنامه‌های پلتفرم خاص در دسترس بودند، به وب می‌آورند. با معرفی رفتار برنامه مانند، تمایل توسعه دهندگان برای استفاده مجدد از این تجربیات در اندروید افزایش یافت و توسعه دهندگان شروع به درخواست راه هایی برای ادغام PWA در برنامه های خود کردند.

Custom Tabs از تمام قابلیت‌های وب و APIهای مدرن پشتیبانی می‌کند، اما از آنجایی که اساساً برای باز کردن محتوای شخص ثالث طراحی شده است، یک نوار ابزار در بالا دارد که به کاربران نشان می‌دهد که کدام URL را بازدید می‌کنند، و همچنین نماد قفل نشان می‌دهد که آیا سایت امن است هنگام باز کردن تجربه شخصی یک برنامه، نوار ابزار مانع از این می شود که برنامه احساس کند با سیستم عامل یکپارچه شده است.

Trusted Web Activities در Chrome 72 معرفی شد و به توسعه دهندگان این امکان را می دهد تا از PWA خود در یک برنامه اندروید استفاده کنند . پروتکل آن مشابه پروتکل Custom Tabs است، اما API هایی را معرفی می کند که به توسعه دهندگان اجازه می دهد (از طریق پیوندهای دارایی دیجیتال ) تأیید کنند که هم برنامه Android و هم URL در حال باز شدن را کنترل می کنند و وقتی هر دو درست هستند، نوار URL را حذف می کنند.

آنها همچنین API هایی را برای ایجاد صفحه نمایش در هنگام باز کردن PWA یا واگذاری اعلان های وب به کد اندروید معرفی کردند. ویژگی‌های بیشتری مانند پشتیبانی از Play Billing به زودی ارائه می‌شود.

از آنجایی که انتظار می رود URL های باز شده در Trusted Web Activities PWA باشند و دارای مجموعه ای از رفتارها و ویژگی های عملکرد باشند، Trusted Web Activities معیارهای کیفی را برای PWA هایی که در داخل آن باز می شوند معرفی می کند.

محدودیت های راه حل های فعلی

بازخورد توسعه‌دهندگان نشان می‌دهد که نیاز به سازگاری پلتفرم تب‌های سفارشی همراه با انعطاف‌پذیری WebView وجود دارد تا بتوانند، برای مثال، به DOM دسترسی داشته باشند یا جاوا اسکریپت را به مرورگرهای درون‌برنامه خود تزریق کنند.

تب های سفارشی عملاً تبی است که توسط مرورگر کاربر ارائه می شود، با رابط کاربری سفارشی یا اصلاً بدون رابط کاربری. این بدان معنی است که مرورگر باید به انتظارات کاربر در مورد حریم خصوصی و امنیت نسبت به مرورگر احترام بگذارد و برخی از این ویژگی ها را غیرممکن می کند.

تیم وب در اندروید در Google به دنبال جایگزین‌ها و آزمایش راه‌حل‌هایی برای حل این موارد استفاده است. منتظر جزئیات باشید!

خلاصه

WebView زمانی مفید است که یک برنامه در داخل برنامه اندروید خود به HTML، CSS و جاوا اسکریپت نیاز دارد، اما از ویژگی‌ها و قابلیت‌های پیشرفته‌تر موجود در وب مدرن مانند Push Notifications، Web Bluetooth و موارد دیگر استفاده نمی‌کند. هنگام باز کردن محتوایی که برای پلتفرم وب مدرن طراحی شده است، توصیه نمی شود، زیرا ممکن است به روشی که توسعه دهنده در نظر داشته نمایش داده نشود. WebView برای ایجاد مرورگرهای درون برنامه ای توصیه نمی شود. از طرف دیگر نمایش محتوای وب شخص اول منطقه ای است که WebViews واقعاً می درخشد.

وقتی توسعه‌دهندگان می‌خواهند برنامه وب پیشرو خود را به صورت تمام صفحه در داخل برنامه Android خود ارائه دهند، باید از «فعالیت وب مورد اعتماد» استفاده شود. می توان از آن به عنوان تنها فعالیت در برنامه استفاده کرد یا در کنار سایر فعالیت های اندروید استفاده کرد.

برگه های سفارشی روش توصیه شده برای باز کردن محتوای شخص ثالث است که برای پلتفرم وب طراحی شده است که به عنوان مرورگرهای درون برنامه نیز شناخته می شود.