App端水印必须用原生层实现,因WebView无法覆盖整个窗口;需通过原生插件在UIWindow(iOS)或DecorView(Android)顶层绘制,推荐使用watermark-plus插件,并由服务端生成带签名的水印文本以确保防伪。

App端水印必须用原生层,WebView层加不了
想在uni-app的App端实现真正有效的全屏水印?首先得明白一个关键限制:web-view和普通的view组件,在iOS和Android的原生容器里,压根就不在同一个渲染图层。这意味着,你用CSS旋转加上position: fixed在页面里模拟出的水印,只能老老实实待在内容区。它盖不住顶部的原生导航栏、状态栏,更别说穿透到整个App窗口了。结果就是,一旦用户截屏、录屏或者分享页面截图,这类前端水印瞬间失效。
那么,真正能起作用的水印该怎么实现?答案很明确:必须借助原生能力,在窗口的最顶层进行绘制。具体来说,就是通过原生插件(分别针对iOS和Android),把文字或图片以半透明的方式,直接画在系统的UIWindow(iOS)或DecorView(Android)上。
- 目前,uni-app官方并没有提供内置的水印API,所以这条路只能靠自己走——要么自己写原生插件,要么集成成熟的第三方方案。
- 选择的插件必须同时兼容iOS和Android两端,并且要妥善处理横竖屏旋转、键盘弹出等场景引发的视图重绘问题。
- 水印文字使用的字体也有讲究,建议使用Base64嵌入的字体或系统默认字体,以避免因设备字体缺失而导致水印显示为空白。
推荐用 uni-app 原生插件方案:watermark-plus
好在社区里已经有比较成熟的解决方案。开源插件watermark-plus就是一个不错的选择,它封装了双端的原生水印逻辑,调用起来非常简单,还支持动态更新水印内容和样式。
安装插件后,在需要启用水印的页面onLoad生命周期中这样调用即可:
const watermark = uni.requireNativePlugin('watermark-plus');
watermark.setWatermark({
text: '内部资料',
fontSize: 16,
alpha: 0.12,
rotate: -25,
color: '#999'
});
- 注意,
text参数必须是一个明确的字符串,不能传递一个JS变量引用过去,因为原生侧并不会去监听JS变量的变化。 alpha(透明度)参数建议设置在0.10–0.15这个区间。太低了看不见,失去了水印的意义;太高了又会干扰正常内容的阅读。- 如果在Android端发现水印位置有偏移,那大概率是插件没有适配刘海屏或全面屏。这时候,需要在插件内部调用
getRealSize这类方法来获取真实的屏幕尺寸进行计算。
自定义水印内容需防篡改,别只靠前端拼接
这是一个常见的误区:很多人习惯把水印文字直接写死在JS代码里,比如text: this.userInfo.name + ' ' + new Date().toLocaleDateString()。这种做法,在防伪意义上几乎为零——用户只要禁用页面Ja vaScript,或者通过抓包工具修改接口响应,就能轻松绕过。
- 真正具备防伪能力的水印,其文本内容应该由服务端生成并进行签名。例如,服务端可以返回一个像
{text: '张三_20240521_xxxhash'}这样的结构,前端只负责原封不动地将这个字符串透传给原生插件。 - 更进一步,原生插件在收到参数后,应该先校验其中的hash签名,确认无误后再进行渲染。否则,参数在传输过程中仍有被Hook工具替换的风险。
- 如果业务要求每个用户看到的水印都不同(例如包含用户名),那么务必在用户登录成功后、首页加载之前,就完成水印的设置调用,以避免出现短暂的白屏期而无水印覆盖的情况。
关闭水印的时机容易漏,尤其在 tab 切换或登录态变更时
水印一旦被绘制到原生窗口上,它可不会随着Vue页面的卸载而自动消失。想象一下这个场景:用户从“我的资料”页(需要显示水印)切换到“公开介绍”页(不应该有水印),如果处理不当,水印依然会顽固地停留在屏幕上。
- 因此,必须在页面的
onUnload或onHide生命周期中,显式地调用watermark.clearWatermark()来清除水印。 - 这里有个细节:当使用
uni.switchTab进行标签页切换时,目标页面的onLoad触发时机,可能会晚于当前页面的onUnload。所以,把清除动作放在onHide里通常会更加稳妥。 - 另一个关键点是用户退出登录。除了清除客户端的登录态(如token),必须立即同步清除水印。否则,旧的用户名水印可能会残留在App的锁屏界面或后台多任务预览图上,造成信息泄露。
说到底,App端的水印远不是加一段CSS样式就能搞定的事情。它的本质,是原生层进行的一次Canvas绘制,所有逻辑的起点,都源于那行uni.requireNativePlugin的调用。缺乏原生能力的支撑,任何花哨的前端方案,都只是纸糊的防伪,一戳就破。
