Brave iOS浏览器URL栏安全状态显示异常问题解析

问题背景

在Brave iOS浏览器1.62版本中，用户报告了一个关于URL栏安全状态显示异常的问题。具体表现为在某些情况下，URL栏会错误地显示"不安全"警告，而实际上网站连接是安全的。这个问题主要出现在浏览CNN、社交媒体平台等主流网站时，特别是在打开多个标签页访问同一域名的情况下。

技术分析

经过开发团队深入调查，发现该问题源于几个关键的技术实现细节：

1. 安全状态设置时机不当：原代码在didFailProvisionalNavigation方法中设置了secureContentState，而URL实际上只在didCommit方法中更新，导致状态不匹配。

2. 外部URL处理缺陷：存在外部URL无法正常工作的问题，这是由于非活动标签页逻辑导致的。

3. 证书显示逻辑错误：当页面根本没有证书时，安全证书显示功能仍然会被触发。

4. 服务器固定信任问题：当AppStore URL加载在已经安全的页面URL之上时，serverPinningTrust会出现不匹配的情况。AppStore URL会错误地继承页面的证书信息，而实际上Apple故意不提供证书。

解决方案

开发团队通过以下技术改进解决了这些问题：

1. 修正安全状态设置时机：移除了在didFailProvisionalNavigation中设置secureContentState的逻辑，确保状态设置与URL更新同步。

2. 优化外部URL处理：修复了非活动标签页逻辑，确保外部URL能够正常加载。

3. 完善证书显示逻辑：增加了对无证书情况的判断，避免在没有证书时错误显示安全信息。

4. 改进服务器固定信任处理：移除了可能导致证书信息混淆的serverPinningTrust，遵循Apple的设计意图处理无证书情况。

验证结果

质量保证团队在iPhone 14(iOS 17.4 Beta)和iPad Air(iPadOS 16.7.2)上使用Brave 1.62.1版本进行了全面测试，验证了以下场景：

1. 访问CNN网站并浏览多个页面
2. 在社交媒体平台登录后浏览多个帖子
3. 通过Brave搜索访问Google Docs
4. 在上述场景中打开多个标签页访问同一域名

测试结果显示，URL栏不再错误显示"不安全"警告，安全状态显示恢复正常。

技术启示

这个案例展示了浏览器安全状态显示的复杂性，特别是在处理以下情况时：

• 多个标签页共享同一域名
• 外部URL与内部页面的交互
• 无证书情况下的安全状态判断
• 不同导航阶段的状态同步

开发团队通过仔细分析导航生命周期和状态管理机制，最终解决了这个影响用户体验的关键问题。这个修复不仅解决了当前版本的问题，也为未来类似问题的排查提供了宝贵经验。