Android WebView生产级实战：复用、通信、拦截与安全四重防线

1. 这不是“Hello World”，而是你真正能用在项目里的 WebView 实战指南

Android WebView 是一个被严重低估的组件。很多人第一次接触它，是在 Android Studio 新建项目后看到WebView的默认示例代码里那行webView.loadUrl("https://www.google.com")——然后就停住了。他们以为 WebView 就是“把网页塞进 App 里”，于是很快转向 Flutter 或 React Native，觉得原生 WebView “太弱”“不安全”“难调试”。但真实情况恰恰相反：WebView 是 Android 生态中能力最深、控制粒度最细、与原生交互最直接的 Web 容器。它不是替代方案，而是关键基础设施——微信小程序底层、淘宝 H5 交易页、钉钉微应用、甚至很多银行 App 的风控页面，全靠 WebView 撑着。我做过 7 个含 WebView 的量产级 App，从日活 200 万的电商导购工具，到金融类合规审计系统，所有核心交互都跑在 WebView 里。它不慢，只要你懂怎么配；它不卡，只要你关掉那些默认陷阱；它不危险，只要你理解addJavascriptInterface的生命周期边界。这篇教程不讲“如何显示一个网页”，而是带你从零开始，亲手搭出一个可调试、可通信、可拦截、可降级、可埋点、可灰度的生产级 WebView 基础框架。你会看到loadUrl后面藏着的 12 个必须重写的回调，会亲手写一个比 Chrome DevTools 更快的 JS 错误捕获器，会用WebResourceRequest精确拦截广告请求，还会让 JS 调用原生相机并把照片回传给网页——全部基于 Android 12+ 最新 API，不依赖任何第三方库。如果你正要开发一个混合应用，或者正在为 WebView 加载慢、白屏久、JS 报错找不到源头而头疼，这篇就是为你写的。它不教你怎么装 Android Studio（网上教程够多），只聚焦一件事：让 WebView 在你的 App 里，稳得像本地 Activity，快得像原生 View，安全得像沙盒进程。

2. 为什么不能直接 new WebView()？从架构设计看 WebView 的四大生死线

很多人一上来就在 Activity 里new WebView(this)，然后setContentView(webView)，接着loadUrl()—— 表面看跑起来了，实际埋了四颗雷。这四颗雷不是“可能出问题”，而是只要用户量破 1 万，必炸一颗。我见过太多团队在灰度发布后半夜被报警电话叫醒，原因全是 WebView 架构设计没过审。

2.1 生死线一：WebView 实例必须复用，禁止随 Activity 创建/销毁而重建

这是最反直觉但最关键的一条。新手常以为“Activity 销毁 → WebView 销毁 → 再创建 Activity → 新建 WebView”天经地义。错。WebView 内部持有大量 native 资源（渲染上下文、JS 引擎实例、网络连接池），每次新建都要重新初始化 V8 引擎、重建 GPU 渲染管线、重连 DNS 缓存。实测数据：在 Pixel 6 上，冷启动 WebView 平均耗时 420ms；而复用一个已初始化的 WebView，首次loadUrl只需 83ms。更致命的是内存：每个 WebView 实例常驻内存 18~25MB（Android 12+），Activity 频繁重建会导致 WebView 实例堆积，触发 OOM。我们团队曾在线上发现一个页面每秒新建 3 个 WebView，3 分钟后内存占用飙升至 1.2GB，最终被系统 kill。

正确做法是构建 WebView 单例管理器，按业务场景分组复用。比如：

• 主业务 WebView（承载商品页、订单页）：全局单例，生命周期绑定 Application
• 活动页 WebView（限时抢购、抽奖页）：按活动 ID 缓存，超时 10 分钟自动回收
• 临时页 WebView（帮助文档、客服链接）：使用 WeakReference 缓存，GC 自动清理

提示：不要用static WebView sWebView这种粗暴单例。WebView 持有 Context 引用，静态持有会导致 Activity 泄漏。必须用WeakReference<WebView>+Application上下文初始化。

2.2 生死线二：必须禁用硬件加速？不，是必须精准控制硬件加速层级

网上流传“WebView 卡顿就关硬件加速”，这是典型拍脑袋结论。Android WebView 的硬件加速分三层：

• Layer Type（View 层）：setLayerType(LAYER_TYPE_HARDWARE, null)控制 View 是否用 GPU 渲染
• WebView Setting（WebView 层）：settings.setHardwareAccelerated(true)控制 WebView 内部是否启用 GPU
• Render Process（进程层）：Android 10+ 默认开启独立渲染进程，不受 Activity 控制

实测发现：在低端机（如 Redmi Note 8）上，同时开启 View 层和 WebView 层硬件加速，会导致onDraw时 GPU 线程阻塞，帧率暴跌至 12fps；但在高端机（如 S23 Ultra）上，关闭 WebView 层硬件加速反而使 JS 执行变慢 37%。真正的解法是动态适配：

1. 启动时用Build.VERSION.SDK_INT >= Build.VERSION_CODES.Q判断系统版本
2. 用ActivityManager.getMemoryClass()获取可用内存
3. 内存 < 512MB 且 SDK < 29 → 关闭 WebView 层硬件加速，View 层保留
4. 内存 ≥ 512MB 且 SDK ≥ 29 → 全开，但监听onRendererUnresponsive做降级

我们线上灰度数据显示，该策略使低端机 WebView 白屏率下降 63%，高端机首屏时间提升 22%。

2.3 生死线三：JavaScriptEnabled 不是开关，而是信任边界的闸门

settings.setJavaScriptEnabled(true)这行代码，本质是向 WebView 注入一个 JS 执行环境。但它打开的不仅是 JS 引擎，还有三扇危险的门：

• 文件访问门：setAllowFileAccess(true)允许 JS 读取file:///协议资源，攻击者可构造恶意 HTML 读取/data/data/your.package/shared_prefs/
• 内容访问门：setAllowContentAccess(true)允许 JS 访问content://URI，配合ContentProvider泄露敏感数据
• 任意 URL 门：setAllowUniversalAccessFromFileURLs(true)（已废弃但仍有项目在用）允许file://页面加载任意域名资源，是 XSS 攻击温床

生产环境黄金法则：

• 若 WebView 只加载 HTTPS 网页 →setJavaScriptEnabled(true)+setAllowFileAccess(false)+setAllowContentAccess(false)
• 若需加载本地 HTML（如离线帮助页）→setAllowFileAccess(true)但必须配合setAllowUniversalAccessFromFileURLs(false)，且 HTML 中禁止<script src="http://">
• 绝对禁止setAllowUniversalAccessFromFileURLs(true)，Android 10+ 已强制禁用，但低版本仍存在风险

我们曾因测试环境误开setAllowUniversalAccessFromFileURLs，被安全扫描工具标记为高危漏洞，紧急 hotfix 版本上线。

2.4 生死线四：WebViewClient 和 WebChromeClient 不是可选插件，而是必须重写的控制中枢

很多教程只写webView.setWebViewClient(new WebViewClient())，认为“这样就能拦截跳转了”。大错特错。WebViewClient是 WebView 的网络与导航控制器，WebChromeClient是UI 与功能控制器，二者缺一不可，且每个方法都对应一个关键控制点：

WebChromeClient同样关键：

• onShowCustomView/onHideCustomView：全屏视频播放控制，不重写会导致视频退出后黑屏
• onConsoleMessage：捕获 JSconsole.error，比setWebContentsDebuggingEnabled(true)更早发现错误
• onPermissionRequest：处理摄像头、定位等权限请求，不重写会导致权限弹窗不显示

注意：onPageFinished并不表示页面完全可交互！它只代表 HTML 解析完成。JS 可能还在执行，CSS 可能未生效。我们加了一层window.addEventListener('load', ...)的 JS 注入来确认真正就绪。

3. 核心细节解析：从 loadUrl 到稳定交付的 12 个必填参数与 7 个隐藏陷阱

webView.loadUrl("https://example.com")这行代码背后，藏着 Android WebView 最复杂的初始化链路。它不是简单发个 HTTP 请求，而是触发一个包含 12 个关键步骤的状态机。任何一个环节配置不当，都会导致白屏、崩溃或安全漏洞。下面我逐个拆解，告诉你每个参数为什么必须设、设多少、不设会怎样。

3.1 步骤一：WebView 初始化前的 Context 选择——Application Context 还是 Activity Context？

这是第一个也是最容易踩的坑。new WebView(context)的context参数，90% 的人传this（Activity）。这会导致两个问题：

• 内存泄漏：WebView 持有 Context 引用，Activity 销毁后 WebView 无法 GC
• 资源错乱：Activity 重建时，WebView 的getResources()仍指向旧 Activity，导致 Drawable 加载失败

正确解法：

// ✅ 使用 Application Context 初始化 WebView WebView webView = new WebView(getApplicationContext()); // ❌ 禁止使用 Activity Context // WebView webView = new WebView(this);

但注意：getApplicationContext()返回的 Context 无法访问 Activity 特有资源（如主题、ActionBar）。所以后续设置WebView的 UI 属性（如背景色、缩放控件）必须在addView()后，用Activity的findViewById()获取父容器再操作。

3.2 步骤二：WebViewSettings 的 7 个必设项——不是可选项，是生存底线

WebViewSettings 是 WebView 的“操作系统内核”，以下 7 项必须显式设置，否则默认值在不同 Android 版本间差异巨大：

特别强调setCacheMode：

• LOAD_DEFAULT：先查缓存，命中则用，未命中则网络加载（推荐线上环境）
• LOAD_CACHE_ELSE_NETWORK：强制走缓存，无缓存才走网络（适合离线包场景）
• LOAD_NO_CACHE：完全禁用缓存（调试专用，线上禁用）

我们曾因忘记设setUseWideViewPort(true)，导致一个响应式官网在 70% 的安卓机型上出现横向滚动条，用户投诉率飙升。

3.3 步骤三：loadUrl 的 5 个隐藏参数——URL 字符串不是终点，而是起点

loadUrl(String url)看似简单，但 URL 字符串本身必须满足 5 个条件，否则 WebView 直接拒绝加载：

1. 协议必须明确：http://或https://，禁止省略。loadUrl("example.com")会失败，必须loadUrl("https://example.com")
2. 中文字符必须编码：loadUrl("https://example.com/搜索")会解析失败，必须loadUrl("https://example.com/%E6%90%9C%E7%B4%A2")
3. 特殊符号必须转义：#、?、&等在 URL 中有特殊含义，若作为路径参数需编码。例如loadUrl("https://a.com/page#section1")中的#会被 WebView 当作 Fragment 分隔符，导致onPageStarted的url参数只拿到https://a.com/page
4. 长度限制：Android WebView 对 URL 长度有限制（约 8192 字节），超长 URL 会被截断。我们曾遇到一个带 200 个参数的分享链接，加载时白屏，排查发现 URL 被截断导致 JS 报错
5. 空格处理：URL 中的空格必须编码为%20，不能用+（+在 query string 中表示空格，但在 path 中无效）

实战技巧：封装一个安全的safeLoadUrl方法：

public static void safeLoadUrl(WebView webView, String url) { if (url == null || url.trim().isEmpty()) return; // 修复协议缺失 if (!url.startsWith("http://") && !url.startsWith("https://")) { url = "https://" + url; } // URL 编码 try { URI uri = new URI(url); String encodedUrl = uri.toASCIIString(); webView.loadUrl(encodedUrl); } catch (URISyntaxException e) { // 日志上报 Log.e("WebView", "Invalid URL: " + url, e); } }

3.4 步骤四：JavaScript 通信的双向通道——不只是 addJavascriptInterface

addJavascriptInterface是 JS 调用原生的入口，但它是把双刃剑。Android 4.2+ 要求被注入的对象方法必须加@JavascriptInterface注解，否则不暴露；Android 6.0+ 要求运行时权限；更致命的是，它不支持异步回调。JS 调用原生方法后，必须等待原生方法返回才能继续执行，这在需要网络请求的场景（如 JS 调用原生上传图片）会造成 JS 线程阻塞。

我们的生产级解法是“双通道模型”：

• 同步通道：addJavascriptInterface用于轻量、确定性操作（如获取设备型号、打开相册）
• 异步通道：自定义WebViewClient.shouldInterceptRequest拦截特定 scheme（如jsbridge://upload?callbackId=123），原生处理完后用evaluateJavascript回传结果

具体实现：

1. JS 端注册回调：window.jsBridgeCallbacks['123'] = function(data){...}
2. JS 发起请求：location.href = 'jsbridge://upload?params=xxx&callbackId=123'
3. 原生拦截：在shouldInterceptRequest中匹配jsbridge://，解析参数，启动上传
4. 上传完成：webView.evaluateJavascript("window.jsBridgeCallbacks['123']("+jsonResult+")", null)

该方案规避了addJavascriptInterface的线程阻塞和安全风险，且兼容所有 Android 版本。

3.5 步骤五：错误处理的三重防御——从网络层到 JS 层的全链路监控

WebView 错误不能只靠onReceivedError。它只能捕获网络层错误（-2 网络断开，-6 SSL 错误），对 JS 执行错误、资源加载失败、CSS 解析错误完全无感。我们构建了三重防御：

第一重：网络层拦截（shouldInterceptRequest）
监听所有WebResourceRequest，记录request.getUrl().toString()、request.getMethod()、response.getStatusCode()，对 404/500/timeout 做聚合上报。

第二重：页面层监控（onPageFinished + JS 注入）
在onPageFinished后注入一段 JS：

// 捕获 JS 错误 window.addEventListener('error', function(e) { _bridge.reportJsError({ message: e.message, filename: e.filename, lineno: e.lineno, colno: e.colno, stack: e.error ? e.error.stack : '' }); }); // 捕获资源加载失败 document.addEventListener('DOMContentLoaded', function() { Array.from(document.querySelectorAll('img, script, link[rel="stylesheet"]')) .filter(el => el.complete === false || el.naturalWidth === 0) .forEach(el => { _bridge.reportResourceError({ type: el.tagName, src: el.src || el.href, status: el.naturalWidth === 0 ? '404' : 'timeout' }); }); });

第三重：渲染层监控（onConsoleMessage）
重写WebChromeClient.onConsoleMessage，捕获console.error和console.warn：

@Override public boolean onConsoleMessage(ConsoleMessage consoleMessage) { if (consoleMessage.messageLevel() == ConsoleMessage.MessageLevel.ERROR) { CrashReport.post("JS_ERROR", consoleMessage.message(), consoleMessage.sourceId(), consoleMessage.lineNumber()); } return super.onConsoleMessage(consoleMessage); }

这套组合拳让我们线上 JS 错误发现率从 37% 提升到 99.2%，平均定位时间从 4.2 小时缩短到 11 分钟。

4. 实操过程：手把手搭建一个可商用的 WebView 基础框架（含完整代码）

现在，我们把前面所有原则落地为一个可直接集成的SafeWebView类。它不是一个玩具 Demo，而是我们线上 App 正在使用的精简版。整个框架包含 4 个核心模块：初始化管理、网络拦截、JS 通信、错误监控。我会逐行解释每段代码的意图、参数选择依据和避坑点。

4.1 模块一：SafeWebView 初始化管理器——解决复用与内存泄漏

public class SafeWebView extends WebView { private static final String TAG = "SafeWebView"; // 使用 WeakReference 避免强引用导致 Activity 泄漏 private static WeakReference<SafeWebView> sInstance; private static final Object sLock = new Object(); public SafeWebView(Context context) { super(getAppContext(context)); init(); } // ✅ 关键：从任意 Context 获取 Application Context private static Context getAppContext(Context context) { return context.getApplicationContext() != null ? context.getApplicationContext() : context; } private void init() { // ✅ 步骤一：WebViewSettings 全局配置 WebSettings settings = getSettings(); settings.setJavaScriptEnabled(true); settings.setDomStorageEnabled(true); settings.setDatabaseEnabled(true); settings.setAppCacheEnabled(false); // 禁用废弃的 AppCache settings.setCacheMode(WebSettings.LOAD_DEFAULT); settings.setUseWideViewPort(true); settings.setLoadWithOverviewMode(true); settings.setSupportZoom(true); settings.setBuiltInZoomControls(true); settings.setDisplayZoomControls(false); // 隐藏缩放控件，用自定义 UI // ✅ 步骤二：设置 WebViewClient 和 WebChromeClient setWebViewClient(new SafeWebViewClient()); setWebChromeClient(new SafeWebChromeClient()); // ✅ 步骤三：注入 JS Bridge 对象（同步通道） addJavascriptInterface(new JsBridge(this), "Android"); } // ✅ 步骤四：提供单例获取方法，按业务场景复用 public static SafeWebView getInstance(Context context) { synchronized (sLock) { if (sInstance == null || sInstance.get() == null) { sInstance = new WeakReference<>(new SafeWebView(context)); } return sInstance.get(); } } // ✅ 步骤五：Activity 销毁时清理（在 Activity onDestroy 中调用） public void onDestroy() { // 清理 WebView 内部资源 clearCache(true); clearHistory(); clearFormData(); // 移除所有回调引用 setWebViewClient(null); setWebChromeClient(null); // 清空 JS Bridge removeJavascriptInterface("Android"); } }

关键点解析：

• getAppContext()方法确保无论传入Activity还是ServiceContext，都返回Application，彻底杜绝内存泄漏
• setBuiltInZoomControls(true)但setDisplayZoomControls(false)是为了启用双指缩放功能，同时隐藏系统缩放按钮（UI 一致性）
• onDestroy()方法不是可选的！必须在 Activity 销毁时调用，否则 WebView 持有的 native 资源不会释放，导致内存持续增长

4.2 模块二：SafeWebViewClient——网络拦截与导航控制

public class SafeWebViewClient extends WebViewClient { @Override public boolean shouldInterceptRequest(WebView view, WebResourceRequest request) { // ✅ 拦截 jsbridge:// 协议，实现异步 JS 通信 Uri uri = request.getUrl(); if ("jsbridge".equals(uri.getScheme())) { handleJsBridgeRequest(view, uri); return true; // 拦截，不发起网络请求 } // ✅ 拦截广告域名（示例：屏蔽百度联盟） String host = uri.getHost(); if (host != null && (host.contains("bdstatic.com") || host.contains("baidu.com"))) { Log.d(TAG, "Blocked ad request: " + uri.toString()); return new WebResourceResponse("text/plain", "UTF-8", null); } // ✅ 记录请求耗时（用于性能监控） long startTime = System.currentTimeMillis(); WebResourceResponse response = super.shouldInterceptRequest(view, request); long duration = System.currentTimeMillis() - startTime; if (duration > 3000) { // 超过 3s 记为慢请求 CrashReport.post("SLOW_REQUEST", uri.toString(), String.valueOf(duration)); } return response; } private void handleJsBridgeRequest(WebView view, Uri uri) { String action = uri.getHost(); // jsbridge://upload → action = "upload" String params = uri.getQuery(); // ?callbackId=123&data=xxx String callbackId = Uri.parse("?" + params).getQueryParameter("callbackId"); // ✅ 根据 action 分发处理 switch (action) { case "upload": handleUpload(view, params, callbackId); break; case "getLocation": handleLocation(view, callbackId); break; } } private void handleUpload(WebView view, String params, String callbackId) { // ✅ 启动原生相册选择（此处简化，实际用 Intent） Intent intent = new Intent(Intent.ACTION_PICK); intent.setType("image/*"); // 结果回调通过 onActivityResult 处理，完成后调用 evaluateJavascript // 伪代码：startActivityForResult(intent, REQUEST_CODE_UPLOAD); } @Override public void onPageStarted(WebView view, String url, Bitmap favicon) { super.onPageStarted(view, url, favicon); // ✅ 启动加载动画（需在 Activity 中实现） if (view.getContext() instanceof Activity) { ((Activity) view.getContext()).runOnUiThread(() -> { // 显示 ProgressBar 或 Skeleton }); } } @Override public void onPageFinished(WebView view, String url) { super.onPageFinished(view, url); // ✅ 注入 JS Bridge 初始化脚本 injectJsBridge(view); // ✅ 注入错误监控脚本 injectErrorMonitor(view); } private void injectJsBridge(WebView view) { String js = "javascript:(function(){" + "if (typeof window._bridge === 'undefined') {" + "window._bridge = {callbacks: {}, nextId: 0};" + "window._bridge.call = function(action, params, callback) {" + "var id = 'cb_' + (++window._bridge.nextId);" + "window._bridge.callbacks[id] = callback;" + "location.href = 'jsbridge://' + action + '?callbackId=' + id + '&params=' + encodeURIComponent(JSON.stringify(params));" + "};" + "}" + "})()"; view.evaluateJavascript(js, null); } private void injectErrorMonitor(WebView view) { String js = "javascript:(function(){" + "window.addEventListener('error', function(e) {" + "if (e.error && e.error.stack) {" + "Android.reportJsError(JSON.stringify({" + "message: e.message," + "stack: e.error.stack," + "url: e.filename," + "line: e.lineno" + "}));" + "}" + "});" + "})()"; view.evaluateJavascript(js, null); } }

避坑经验：

• shouldInterceptRequest在 Android 7.0+ 才支持WebResourceRequest，低版本需用shouldInterceptRequest(WebView, String)重载，但我们已放弃 Android 6.0 以下，故不兼容
• evaluateJavascript必须在onPageFinished后调用，否则 JS 环境未就绪，执行无效
• injectJsBridge中的window._bridge对象必须用if (typeof window._bridge === 'undefined')包裹，防止页面跳转后重复注入导致覆盖

4.3 模块三：SafeWebChromeClient——UI 与功能控制

public class SafeWebChromeClient extends WebChromeClient { @Override public void onProgressChanged(WebView view, int newProgress) { super.onProgressChanged(view, newProgress); // ✅ 进度条防抖：避免快速跳转时频繁更新 if (newProgress == 100 || newProgress % 10 == 0) { // 更新 UI 进度条 } } @Override public void onConsoleMessage(ConsoleMessage consoleMessage) { // ✅ 捕获 JS Console Error 并上报 if (consoleMessage.messageLevel() == ConsoleMessage.MessageLevel.ERROR) { CrashReport.post("JS_CONSOLE_ERROR", consoleMessage.message(), consoleMessage.sourceId(), String.valueOf(consoleMessage.lineNumber())); } super.onConsoleMessage(consoleMessage); } @Override public void onPermissionRequest(PermissionRequest request) { // ✅ 处理摄像头、麦克风等权限请求 if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { // 检查是否已授权 if (ContextCompat.checkSelfPermission(request.getOrigin().toString(), Manifest.permission.CAMERA) == PackageManager.PERMISSION_GRANTED) { request.grant(request.getResources()); } else { // 弹窗申请权限 ActivityCompat.requestPermissions((Activity) request.getOrigin().getContext(), new String[]{Manifest.permission.CAMERA}, REQUEST_CODE_CAMERA); } } } @Override public void onShowCustomView(View view, CustomViewCallback callback) { // ✅ 全屏视频处理：将 video view 添加到 Activity 的 ViewGroup if (mCustomView != null) { callback.onCustomViewHidden(); return; } mCustomView = view; FrameLayout decor = (FrameLayout) ((Activity) view.getContext()).getWindow().getDecorView(); decor.addView(view, new FrameLayout.LayoutParams( ViewGroup.LayoutParams.MATCH_PARENT, ViewGroup.LayoutParams.MATCH_PARENT)); mCustomViewCallback = callback; // 隐藏 ActionBar 和 NavigationBar hideSystemUi(view.getContext()); } @Override public void onHideCustomView() { // ✅ 退出全屏：移除 video view if (mCustomView == null) return; FrameLayout decor = (FrameLayout) ((Activity) mCustomView.getContext()).getWindow().getDecorView(); decor.removeView(mCustomView); mCustomView = null; if (mCustomViewCallback != null) { mCustomViewCallback.onCustomViewHidden(); mCustomViewCallback = null; } // 恢复 ActionBar 和 NavigationBar showSystemUi(mCustomView.getContext()); } }

实操心得：

• onPermissionRequest中的request.getOrigin().getContext()可能为 null，必须判空
• onShowCustomView的view参数是VideoView或TextureView，必须用FrameLayout的addView添加，不能用setContentView，否则会覆盖整个 Activity
• 全屏时调用hideSystemUi()必须用SYSTEM_UI_FLAG_IMMERSIVE_STICKY，否则退出全屏后状态栏不自动恢复

4.4 模块四：JsBridge——同步通信与安全边界

public class JsBridge { private final SafeWebView mWebView; public JsBridge(SafeWebView webView) { this.mWebView = webView; } @JavascriptInterface public String getDeviceModel() { return Build.MODEL; } @JavascriptInterface public String getAppVersion() { try { PackageInfo info = mWebView.getContext().getPackageManager() .getPackageInfo(mWebView.getContext().getPackageName(), 0); return info.versionName; } catch (PackageManager.NameNotFoundException e) { return "1.0.0"; } } @JavascriptInterface public void reportJsError(String errorJson) { // ✅ 将 JS 错误 JSON 转为原生对象上报 try { JSONObject json = new JSONObject(errorJson); CrashReport.post("JS_ERROR_REPORT", json.optString("message"), json.optString("url"), json.optString("line")); } catch (JSONException e) { CrashReport.post("JS_ERROR_PARSE_FAIL", errorJson); } } // ✅ 关键：所有 @JavascriptInterface 方法必须是 public，且参数类型为基本类型或 String // ❌ 禁止使用 List、Map、自定义对象，WebView 无法序列化 }

安全铁律：

• @JavascriptInterface方法必须声明为public，否则不暴露给 JS
• 参数只能是String、int、boolean等基本类型，或JSONObject（需手动toString()）
• 绝对禁止在@JavascriptInterface方法中调用Toast.makeText()或startActivity()，这些操作必须在主线程，而 JS 调用在子线程

5. 常见问题与排查技巧实录：从白屏、崩溃到 JS 无响应的 15 个真实案例

在 7 个 WebView 项目中，我整理了线上最频发的 15 个问题。每个问题都附带现象、根因、排查命令、修复方案、预防措施，全是血泪教训。

5.1 白屏问题：页面加载后一片空白，Network 面板显示 200 OK

5.2 崩溃问题：App 直接闪退，Logcat 报SIGSEGV或JNI ERROR