作者:字节挪动技术——段文斌
前言
家喻户晓,字节跳动的举荐在业内处于领先水平,而准确的举荐离不开大量埋点,常见的埋点采集计划是在响应用户行为操作的门路上进行埋点。然而因为App通常会有比拟多界面和操作门路,被动埋点的保护老本就会十分大。所以行业的做法是无埋点,而无埋点实现须要AOP编程。
一个常见的场景,比方想在UIViewController呈现和隐没的时刻别离记录时间戳用于统计页面展示的时长。要达到这个指标有很多种办法,然而AOP无疑是最简略无效的办法。Objective-C的Hook其实也有很多种形式,这里以Method Swizzle给个示例。
@interface UIViewController (MyHook)
@end
@implementation UIViewController (MyHook)
+ (void)load {
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
/// 惯例的 Method Swizzle封装
swizzleMethods(self, @selector(viewDidAppear:), @selector(my_viewDidAppear:));
/// 更多Hook
});
}
- (void)my_viewDidAppear:(BOOL)animated {
/// 一些Hook须要的逻辑
/// 这里调用Hook后的办法,其实现其实曾经是原办法了。
[self my_viewDidAppear: animated];
}
@end接下来咱们探讨一个具体场景:
UICollectionView或者UITableView是iOS中十分罕用的列表UI组件,其中列表元素的点击事件回调是通过delegate实现的。这里以UICollectionView为例,UICollectionView的delegate,有个办法申明,collectionView:didSelectItemAtIndexPath:,实现这个办法咱们就能够给列表元素增加点击事件。
咱们的指标是Hook这个delegate的办法,在点击回调的时候进行额定的埋点操作。
计划迭代
计划1 Method Swizzle
通常状况下,Method Swizzle能够满足绝大部分的AOP编程需要。因而首次迭代,咱们间接应用Method Swizzle来进行Hook。
@interface UICollectionView (MyHook)
@end
@implementation UICollectionView (MyHook)
// Hook, setMyDelegate:和setDelegate:替换过
- (void)setMyDelegate:(id)delegate {
if (delegate != nil) {
/// 惯例Method Swizzle
swizzleMethodsXXX(delegate, @selector(collectionView:didSelectItemAtIndexPath:), self, @selector(my_collectionView:didSelectItemAtIndexPath:));
}
[self setMyDelegate:nil];
}
- (void)my_collectionView:(UICollectionView *)ccollectionView didSelectItemAtIndexPath:(NSIndexPath *)index {
/// 一些Hook须要的逻辑
/// 这里调用Hook后的办法,其实现其实曾经是原办法了。
[self my_collectionView:ccollectionView didSelectItemAtIndexPath:index];
}
@end咱们把这个计划集成到今日头条App外面进行测试验证,发现没法方法验证通过。
次要起因今日头条App是一个宏大的我的项目,其中引入了十分多的三方库,比方IGListKit等,这些三方库通常对UICollectionView的应用都进行了封装,而这些封装,恰好导致咱们不能应用惯例的Method Swizzle来Hook这个delegate。间接的起因总结有以下两点:
setDelegate传入的对象不是实现UICollectionViewDelegate协定的那个对象
如图示,setDelegate传入的是一个代理对象proxy,proxy援用了理论的实现UICollectionViewDelegate协定的delegate,proxy实际上并没有实现UICollectionViewDelegate的任何一个办法,它把所有办法都转发给理论的delegate。这种状况下,咱们不能间接对proxy进行Method Swizzle
- 屡次
setDelegate
在上述图例中,应用方存在间断调用两次setDelegate的状况,第一次是实在delegate,第二次是proxy,咱们须要区别对待。
代理模式和NSProxy介绍
应用proxy对原对象进行代理,在解决完额定操作之后再调用原对象,这种模式称为代理模式。而Objective-C中要实现代理模式,应用NSProxy会比拟高效。具体内容参考下列文章。
- 代理模式
- NSProxy应用
这外面UICollectionView的setDelegate传入的是一个proxy是十分常见的操作,比方IGListKit,同时App基于本身需要,也有可能会做这一层封装。
在UICollectionView的setDelegate的时候,把delegate包裹在proxy中,而后把proxy设置给UICollectionView,应用proxy对delegate进行音讯转发。
计划2 应用代理模式
计划1曾经无奈满足咱们的需要了,咱们思考到既然对delegate进行代理是一种惯例操作,咱们何不也应用代理模式,对proxy再次代理。
代码实现
- 先Hook
UICollectionView的setDelegate办法 - 代理
delegate
简略的代码示意如下
/// 残缺封装了一些惯例的音讯转发办法
@interface DelegateProxy : NSProxy
@property (nonatomic, weak, readonly) id target;
@end
/// 为 CollectionView delegate转发音讯的proxy
@interface BDCollectionViewDelegateProxy : DelegateProxy
@end
@implementation BDCollectionViewDelegateProxy <UICollectionViewDelegate>
- (void)collectionView:(UICollectionView *)collectionView didSelectItemAtIndexPath:(NSIndexPath *)indexPath {
//track event here
if ([self.target respondsToSelector:@selector(collectionView:didSelectItemAtIndexPath:)]) {
[self.target collectionView:collectionView didSelectItemAtIndexPath:indexPath];
}
}
- (BOOL)bd_isCollectionViewTrackerDecorator {
return YES;
}
// 还有其余的音讯转发的代码 先疏忽
- (BOOL)respondsToSelector:(SEL)aSelector {
if (aSelector == @selector(bd_isCollectionViewTrackerDecorator)) {
return YES;
}
return [self.target respondsToSelector:aSelector];
}
@end
@interface UICollectionView (MyHook)
@end
@implementation UICollectionView (MyHook)
- (void) setDd_TrackerProxy:(BDCollectionViewDelegateProxy *)object {
objc_setAssociatedObject(self, @selector(bd_TrackerProxy), object, OBJC_ASSOCIATION_RETAIN_NONATOMIC);
}
- (BDCollectionViewDelegateProxy *) bd_TrackerProxy {
BDCollectionViewDelegateProxy *bridge = objc_getAssociatedObject(self, @selector(bd_TrackerProxy));
return bridge;
}
// Hook, setMyDelegate:和setDelegate:替换过了
- (void)setMyDelegate:(id)delegate {
if (delegate == nil) {
[self setMyDelegate:delegate];
return
}
// 不会开释,不反复设置
if ([delegate respondsToSelector:@selector(bd_isCollectionViewTrackerDecorator)]) {
[self setMyDelegate:delegate];
return;
}
BDCollectionViewDelegateProxy *proxy = [[BDCollectionViewDelegateProxy alloc] initWithTarget:delegate];
[self setMyDelegate:proxy];
self.bd_TrackerProxy = proxy;
}
@end模型
下图实线示意强援用,虚线示意弱援用。
状况一
如果应用方没有对delegate进行代理,而咱们应用代理模式
UICollectionView,其delegate指针指向DelegateProxy- DelegateProxy,被UICollectionView用runtime的形式强援用,其target弱援用实在Delegate
状况二
如果应用方也对delegate进行代理,咱们应用代理模式
- 咱们只须要保障咱们的DelegateProxy处于代理链中的一环即可
从这里咱们能够看出,代理模式有很好的扩展性,它容许代理链一直嵌套,只有咱们都遵循代理模式的准则即可。
到这里,咱们的计划曾经在今日头条App上测试通过了。然而事件远还没有完结。
踩坑之旅
目前的还算比拟能够,然而也不能完全避免问题。这里其实不仅仅是UICollectionView的delegate,包含:
- UIWebView
- WKWebView
- UITableView
- UICollectionView
- UIScrollView
- UIActionSheet
- UIAlertView
咱们都采纳雷同的办法来进行Hook。同时咱们将计划封装一个SDK对外提供,以下统称为MySDK。
第一次踩坑
某客户接入咱们的计划之后,在集成过程中反馈有必现Crash,上面具体介绍一下这一次踩坑的经验。
堆栈信息
重点信息是[UIWebView webView:decidePolicyForNavigationAction:request:frame:decisionListener:]。
Thread 0 Crashed:
0 libobjc.A.dylib 0x000000018198443c objc_msgSend + 28
1 UIKit 0x000000018be05b4c -[UIWebView webView:decidePolicyForNavigationAction:request:frame:decisionListener:] + 200
2 CoreFoundation 0x0000000182731cd0 __invoking___ + 144
3 CoreFoundation 0x000000018261056c -[NSInvocation invoke] + 292
4 CoreFoundation 0x000000018261501c -[NSInvocation invokeWithTarget:] + 60
5 WebKitLegacy 0x000000018b86d654 -[_WebSafeForwarder forwardInvocation:] + 156从堆栈信息不难判断出crash起因是UIWebView的delegate野指针,那为啥呈现野指针呢?
这里先阐明一下crash的间接起因,而后再来具体分析为什么就呈现了问题。
- MySDK对setDelegate进行了Hook
- 客户也对setDelegate进行了Hook
- 先执行MySDK的Hook逻辑调用,而后执行客户的Hook逻辑调用
客户Hook的代码
@interface UIWebView (JSBridge)
@end
@implementation UIWebView (JSBridge)
- (void)setJsBridge:(id)object {
objc_setAssociatedObject(self, @selector(jsBridge), object, OBJC_ASSOCIATION_RETAIN_NONATOMIC);
}
- (WebViewJavascriptBridge *)jsBridge {
WebViewJavascriptBridge *bridge = objc_getAssociatedObject(self, @selector(jsBridge));
return bridge;
}
+ (void)load {
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
swizzleMethods(self, @selector(setDelegate:), @selector(setJSBridgeDelegate:));
swizzleMethods(self, @selector(initWithFrame:), @selector(initJSWithFrame:));
});
}
- (instancetype)initJSWithFrame:(CGRect)frame {
self = [self initJSWithFrame:frame];
if (self) {
WebViewJavascriptBridge *bridge = [WebViewJavascriptBridge bridgeForWebView:self];
[self setJsBridge:bridge];
}
return self;
}
/// webview.delegate = xxx 会被调用屡次且传入的对象不一样
- (void)setJSBridgeDelegate:(id)delegate {
WebViewJavascriptBridge *bridge = self.jsBridge;
if (delegate == nil || bridge == nil) {
[self setJSBridgeDelegate:delegate];
} else if (bridge == delegate) {
[self setJSBridgeDelegate:delegate];
} else {
/// 第一次进入这里传入 bridge
/// 第二次进入这里传入一个delegate
if (![delegate isKindOfClass:[WebViewJavascriptBridge class]]) {
[bridge setWebViewDelegate:delegate];
/// 上面这一行代码是客户短少的
/// fix with this
[self setJSBridgeDelegate:bridge];
} else {
[self setJSBridgeDelegate:delegate];
}
}
}
@endMySDK Hook代码
@interface UIWebView (MyHook)
@end
@implementation UIWebView (MyHook)
// Hook, setWebViewDelegate:和setDelegate:替换过
- (void)setWebViewDelegate:(id)delegate {
if (delegate == nil) {
[self setWebViewDelegate:delegate];
}
BDWebViewDelegateProxy *proxy = [[BDWebViewDelegateProxy alloc] initWithTarget:delegate];
self.bd_TrackerDecorator = proxy;
[self setWebViewDelegate:proxy];
}
@end野指针起因
UIWebView有两次调用setDelegate办法,第一次是传的WebViewJavascriptBridge,第二次传的另一个理论的WebViewDelegate。暂且称第一次传了bridge第二次传了实际上的delegate。
- 第一次调用,MySDK Hook的时候会用DelegateProxy包装住bridge,所有办法通过DelegateProxy转发到bridge,这里传给
setJSBridgeDelegate:(id)delegate的delegate实际上是DelegateProxy而非bridge。
这里须要留神,UIWebView的delegate指向DelegateProxy是客户给设置上的,且这个属性assign而非weak,这个assign很要害,assigin在对象开释之后不会主动变为nil。
- 第二次调用,MySDK Hook的时候会用新的DelegateProxy包装住delegate也就是WebViewDelegate,这个时候MySDK的逻辑是把新的DelegateProxy给强援用中,老的DelegateProxy就失去了强援用因而开释了。
此时的状态如果不做任何解决,以后状态就如图示:
- delegate指向曾经开释的DelegateProxy,野指针
- UIWebview触发回调就导致crash
修复办法
如果补上那一句,setJSBridgeDelegate:(id)delegate在判断了delegate不是bridge之后,把UIWebView的delegate设置为bridge就能够实现了。
正文中 fix with this下一行代码
修复后模型如下图
总结
应用Proxy的形式尽管也能够解决肯定的问题,然而也须要应用方遵循肯定的标准,要意识到第三方SDK也可能setDelegate进行Hook,也可能应用Proxy
第二次踩坑
先补充一些参考资料
- RxCocoa源码参考 https://github.com/ReactiveX/…
- rxcocoa学习-DelegateProxy
RxCocoa也应用了代理模式,对delegate进行了代理,按情理应该没有问题。然而RxCocoa的实现有点出入。
RxCocoa
如果独自只应用了RxCocoa的计划,和计划是统一,也就不会有任何问题。
RxCocoa+MySDK
RxCocoa+MySDK之后,变成这样子。UICollectionView的delegate间接指向谁在于谁调用的setDelegate办法后调。
实践也应该没有问题,就是援用链多一个poxy包装而已。然而实际上有两个问题。
问题1
RxCocoa的delegate的get办法命中assert
// UIScrollView+Rx.swift
extension Reactive where Base: UIScrollView {
public var delegate: DelegateProxy<UIScrollView, UIScrollViewDelegate> {
return RxScrollViewDelegateProxy.proxy(for: base)
// base能够了解为一个UIScrollView 实例
}
}
open class RxScrollViewDelegateProxy {
public static func proxy(for object: ParentObject) -> Self {
let maybeProxy = self.assignedProxy(for: object)
let proxy: AnyObject
if let existingProxy = maybeProxy {
proxy = existingProxy
} else {
proxy = castOrFatalError(self.createProxy(for: object))
self.assignProxy(proxy, toObject: object)
assert(self.assignedProxy(for: object) === proxy)
}
let currentDelegate = self._currentDelegate(for: object)
let delegateProxy: Self = castOrFatalError(proxy)
if currentDelegate !== delegateProxy {
delegateProxy._setForwardToDelegate(currentDelegate, retainDelegate: false)
assert(delegateProxy._forwardToDelegate() === currentDelegate)
self._setCurrentDelegate(proxy, to: object)
/// 命中上面这一行assert
assert(self._currentDelegate(for: object) === proxy)
assert(delegateProxy._forwardToDelegate() === currentDelegate)
}
return delegateProxy
}
}重点逻辑
- delegateProxy即便RxDelegateProxy
- currentDelegate为RxDelegateProxy指向的对象
- RxDelegateProxy._setForwardToDelegate把RxDelegateProxy指向实在的Delegate
- 标红的后面一句执行的时候,是调用setDelegate办法,把RxDelegateProxy的proxy设置给UIScrollView(其实是一个UICollectionView实例)
- 而后进入了MySDK的Hook办法,把RxDelegateProxy给包了一层
- 最终后果如下图
- 而后导致self._currentDelegate(for: object) 是DelegateProxy而非RxDelegateProxy,触发标红断言
这个断言就很王道,相当于RxCocoa认为就只有它可能去应用Proxy包装delegate,其他人不能这样做,只有做了,就断言。
进一步剖析
- 以后状态
-
再次进入Rx的办法
- currentDelegate是UICollectionView指向的DelegateProxy(MySDK的包装)
- delegateProxy指向还是RxDelegateProxy
- 触发Rx的if判断,Rx会把其指向实在的delegate改向UICollectionView指向的DelegateProxy
- 导致循环指向,援用链中实在的Delegate失落了
问题2
下面提到屡次调用导致了循环指向,而循环指向导致了在理论的办法转发的时候变成了死循环。
responds代码
open class RxScrollViewDelegateProxy {
override open func responds(to aSelector: Selector!) -> Bool {
return super.responds(to: aSelector)
|| (self._forwardToDelegate?.responds(to: aSelector) ?? false)
|| (self.voidDelegateMethodsContain(aSelector) && self.hasObservers(selector: aSelector))
}
}@implementation BDCollectionViewDelegateProxy
- (BOOL)respondsToSelector:(SEL)aSelector {
if (aSelector == @selector(bd_isCollectionViewTrackerDecorator)) {
return YES;
}
return [super respondsToSelector:aSelector];
}
@end仿佛只有不屡次调用就没有问题了?
关键在于Rx的setDelegate办法也调用了get办法,导致一次get就触发第二次调用。也就是屡次调用是无奈防止。
解决方案
问题的起因比拟显著,如果革新RxCocoa的代码,把第三方可能的Hook思考进来,齐全能够解决问题。
解决方案1
参考MySDK的proxy计划,在proxy中退出一个非凡办法,来判断RxDelegateProxy是否曾经在援用链中,而不去被动扭转这个援用链。
open class RxScrollViewDelegateProxy {
public static func proxy(for object: ParentObject) -> Self {
...
let currentDelegate = self._currentDelegate(for: object)
let delegateProxy: Self = castOrFatalError(proxy)
//if currentDelegate !== delegateProxy
if !currentDelegate.responds(to: xxxMethod) {
delegateProxy._setForwardToDelegate(currentDelegate, retainDelegate: false)
assert(delegateProxy._forwardToDelegate() === currentDelegate)
self._setCurrentDelegate(proxy, to: object)
assert(self._currentDelegate(for: object) === proxy)
assert(delegateProxy._forwardToDelegate() === currentDelegate)
} else {
return currentDelegate
}
return delegateProxy
}
}相似这样的革新,就能够解决问题。咱们与Rx团队进行了沟通,也提了PR,惋惜最终被回绝合入了。Rx给出的阐明是,Hook是不优雅的形式,不举荐Hook零碎的任何办法,也不想兼容任何第三方的Hook。
解决方案2
有没有可能,RxCocoa不改代码,MySDK来兼容?
方才提到,有可能是两种状态。
-
状态1
- setDelegate的时候,先进Rx的办法,后进MySDK的Hook办法,
- 传给Rx的就是delegate
- 传给MySDK的是RxDelegateProxy
- Delegate的get调用就触发bug
-
状态2
- setDelegate的时候,先进MySDK的Hook办法,后进Rx的办法?
- 传给Rx的就是DelegateProxy
其实如果是状态2,仿佛Rxcocoa的bug是不会复现的。
然而认真查看Rxcocoa的setDelegate代码
extension Reactive where Base: UIScrollView {
public func setDelegate(_ delegate: UIScrollViewDelegate)
-> Disposable {
return RxScrollViewDelegateProxy.installForwardDelegate(delegate, retainDelegate: false, onProxyForObject: self.base)
}
}
open class RxScrollViewDelegateProxy {
public static func installForwardDelegate(_ forwardDelegate: Delegate, retainDelegate: Bool, onProxyForObject object: ParentObject) -> Disposable {
weak var weakForwardDelegate: AnyObject? = forwardDelegate as AnyObject
let proxy = self.proxy(for: object)
assert(proxy._forwardToDelegate() === nil, "")
proxy.setForwardToDelegate(forwardDelegate, retainDelegate: retainDelegate)
return Disposables.create {
...
}
}
}emmm?Rx外面,UICollectionView的setDelegate和Delegate的get办法不是Hook…
collectionView.rx.setDelegate(delegate)
let delegate = collectionView.rx.delegate最终流程就只能是
- setDelegate的时候,先进Rx的办法,传给Rx实在的delegate
- 后进MySDK的Hook办法
- 传给MySDK的是RxDelegateProxy
- Rx外面获取CollectionView的delegate触发判断
- Delegate的get调用就触发bug
如果MySDK还是采纳以后的Hook计划,就没法在MySDK解决了。
解决方案3
认真看了一下,发现Rx外面是通过重写RxDelegateProxy的forwardInvocation来达到办法转发的目标,即
- RxDelegateProxy没有实现
UICollectionViewDelegate的任何办法 - forwardInvocation中解决
UICollectionViewDelegate相干回调
回顾音讯转发机制
咱们能够在forwardingTargetForSelector这一步进行解决,这样能够避开与Rx相干的抵触,解决完再间接跳过。
- forwardingTargetForSelector中针对delegate的回调,target返回一个SDK解决的类,比DelegateProxy
- DelegateProxy上报实现之后,间接调用跳到RxDelegateProxy的forwardInvocation办法
这个解决方案其实也不完满,只能临时躲避与Rx的抵触。如果后续有其余SDK也来在这个阶段解决Hook抵触,也容易呈现问题。
总结
的确如Rx团队形容的那样,Hook不是很优雅的形式,任何Hook都有可能存在兼容性问题。
- 审慎应用Hook
- Hook零碎接口肯定要遵循肯定的标准,不能假想只有你在Hook这个接口
- 不要假想其他人会怎么解决,间接把多种计划集成到一起,构建多种场景,测试兼容性
文章列举的计划可能不全或者不欠缺,如果有更好的计划,欢送探讨。
参考文档
- NSProxy应用
- 代理模式
- rxcocoa学习-DelegateProxy
- https://github.com/ReactiveX/…
字节跳动挪动平台团队(Client Infrastructure)是大前端根底技术行业领军者,负责整个字节跳动的中国区大前端基础设施建设,晋升公司全产品线的性能、稳定性和工程效率。
当初客户端/前端/服务端/端智能算法/测试开发 面向寰球范畴招聘!一起来用技术扭转世界,感兴趣能够分割邮箱 chenxuwei.cxw@bytedance.com,邮件主题 简历-姓名-求职意向-冀望城市-电话。
对于字节跳动终端技术团队
字节跳动终端技术团队在挪动端、Web、Desktop 等各终端都有深入研究。反对的产品包含抖音、今日头条、西瓜视频、火山小视频等 App。依据实际结晶,现推出 一站式挪动开发平台 veMARS,致力于帮忙企业打造优质 App ,提供挪动开发解决方案,欢送开发者体验。
发表回复