您可以使用 Payment Request API,從在 WebView 中執行的網站啟動 Android 付款應用程式。這項功能會使用 Chrome 中已提供的相同 JavaScript API。
這項功能從 WebView 136 版開始提供,通常會隨 Chrome 136 版一併發布。
在 WebView 主機應用程式中設定付款要求
如要從 WebView 啟動 Android 付款應用程式,Payment Request API 會使用 Android 意圖查詢系統。為支援這項功能,WebView 主機應用程式必須在 AndroidManifest.xml 檔案中宣告這些意圖。
根據預設,WebView 會停用付款要求。
如要使用 AndroidX WebKit 1.14.0 以上版本的 WebSettingsCompat 啟用此功能,請按照下列步驟操作:
步驟 1:新增 AndroidX WebKit 依附元件
Kotlin (build.gradle.kts)
dependencies { implementation("androidx.webkit:webkit:1.14.0") } Groovy (build.gradle)
dependencies { implementation 'androidx.webkit:webkit:1.14.0' } 版本目錄
[versions] webkit = "1.14.0" [libraries] androidx-ktx = { group = "androidx.webkit", name = "webkit", version.ref = "webkit" } 步驟 2:匯入必要的類別
這些類別可讓您存取及設定 WebView 設定,並在執行階段檢查功能支援情形。
import android.webkit.WebSettings; import android.webkit.WebView; import androidx.webkit.WebSettingsCompat; import androidx.webkit.WebViewFeature; 步驟 3:在 WebView 程式碼中啟用付款要求
這個步驟會在 WebView 中啟用 Payment Request 功能,並確保網站可以使用 JavaScript 觸發這項功能。
這個步驟會在 WebView 中啟用付款要求功能,並確保網站可以使用 JavaScript 觸發這項功能。
Kotlin (Compose)
AndroidView( factory = { WebView(it).apply { settings.javaScriptEnabled = true if (WebViewFeature.isFeatureSupported( WebViewFeature.PAYMENT_REQUEST)) { WebSettingsCompat.setPaymentRequestEnabled(settings, true); } } }, update = {it.loadUrl(url) } ) Java
WebView webView = findViewById(R.id.webview); WebSettings webSettings = mWebView.getSettings(); webSettings.setJavascriptEnabled(true); if (WebViewFeature.isFeatureSupported( WebViewFeature.PAYMENT_REQUEST)) { WebSettingsCompat.setPaymentRequestEnabled(webSettings, true); } 步驟 4:在 AndroidManifest.xml 中新增意圖篩選器
這些篩選器可讓 WebView 使用系統意圖,探索及叫用 Android 付款應用程式:
<queries> <intent> <action android:name="org.chromium.intent.action.PAY"/> </intent> <intent> <action android:name="org.chromium.intent.action.IS_READY_TO_PAY"/> </intent> <intent> <action android:name="org.chromium.intent.action.UPDATE_PAYMENT_DETAILS"/> </intent> </queries> 在 AndroidManifest.xml 中使用下列意圖,支援主要的 PaymentRequest 功能:
org.chromium.intent.action.PAY:讓 WebView 叫用 Android 付款應用程式並接收付款回應。詳情請參閱 Android 付款應用程式開發人員指南。org.chromium.intent.action.IS_READY_TO_PAY:允許網站檢查使用者是否已設定支援的付款方式。詳情請參閱 Android 付款應用程式開發人員指南org.chromium.intent.action.UPDATE_PAYMENT_DETAILS:支援動態更新,例如使用者在付款應用程式中變更運送地址或選項。如需更多資訊,請參閱「透過 Android 付款應用程式提供運送和聯絡資訊」。
步驟 5:重新建構並發布應用程式
完成這些變更後,請重建應用程式,並將更新版發布至 Play 商店。
選用:自訂就緒檢查
除了啟動 Android 付款應用程式,Payment Request API 還可讓網站檢查使用者是否已準備好付款。舉例來說,網站可以偵測使用者是否已設定支援的付款方式。
Chrome 提供設定,可讓使用者啟用或停用這項檢查。WebView 主機應用程式可以使用以下方式提供類似的切換按鈕:
WebSettingsCompat.setHasEnrolledInstrumentEnabled(WebSettings, boolean) 這項設定預設為啟用 (true)。啟用後,在 WebView 中執行的網站就能偵測使用者是否已註冊付款工具。
檢查 JavaScript 是否支援付款要求
在 Java 或 Kotlin 中呼叫 WebSettingsCompat.setPaymentRequestEnabled(webSettings, true) 後,JavaScript 就會提供 window.PaymentRequest 介面。這可用於偵測網頁上的功能:
if (window.PaymentRequest) { // Payment Request is available. } else { // Payment Request is not available. } window.PaymentRequest 可用時,網頁可以繼續啟動付款交易。
將 Android 付款應用程式與 Payment Request 整合
為了支援付款要求,Android 付款應用程式必須回應特定系統意圖,並安全地處理付款資料。以下指南說明如何註冊付款方式、導入付款服務,以及保護應用程式:
- Android 付款應用程式開發人員指南:建構及設定付款應用程式,包括如何處理意圖和驗證呼叫應用程式。
- 設定付款方式:註冊付款方式並定義其功能。
保護應用程式免於遭到濫用
任何應用程式都可以呼叫 Android 付款意圖 org.chromium.intent.action.PAY、IS_READY_TO_PAY 和 UPDATE_PAYMENT_DETAILS。WebView 主機應用程式也可以觀察、啟動及攔截付款要求呼叫。由於 WebView 會在主機應用程式程序中執行,因此無法限制這些意圖的使用方式。惡意應用程式可以利用這項功能發動Oracle 攻擊。
在 Oracle 攻擊中,付款應用程式會不小心洩漏不該洩漏的資訊。舉例來說,攻擊者可能會使用 IS_READY_TO_PAY 來找出使用者可用的付款工具。
您必須在付款應用程式中加入防護機制,以防範這類濫用行為。
請採用下列策略,減少濫用行為:
- 調節要求數:限制應用程式回應
IS_READY_TO_PAY的頻率。例如每 30 分鐘只回覆一次。 - 使用加密功能:加密敏感回應,讓只有您信任的商家伺服器才能解密。一律在伺服器端執行加密和解密作業。
- 限制存取權:使用信任的 WebView 主機應用程式套件名稱和 SHA256 簽署憑證,維護許可清單。詳情請參閱 Android 付款應用程式開發人員指南。