iOS9 - NSAppTransportSecurity

最新推荐文章于 2023-06-24 15:35:48 发布
最新推荐文章于 2023-06-24 15:35:48 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: iOS 文章标签: ios HTTPS NSAppTrans
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youtk21ai/article/details/48714073
版权

iOS9 - NSAppTransportSecurity

原文地址:http://www.pluto-y.com/ios9-nsapptransportsecurity/

App Transport Security(以下均称ATS)是iOS9提供的一个新特性,主要是保证app和web服务之间的安全。如果不想开启的话,可以关闭这个特性。

所有用到NSURLConnectionCFURL以及NSURLSessionAPI都会触发ATS(使用iOS9的SDK编译)验证, 所以在iOS9中需要符合一些配置才可以使ATS正常运行。

配置要求

关于App Transport Security 的一些进本配置要求:
* 服务器只要支持TLS协议1.2
* 加密算法也是有限制,需要在以下列表中

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • 必须是用至少是HA256的算法,用至少是2048位的RSA的key 或至少是256位的Elliptic-Curve(ECC)的key所产生的证书

属性结构

如果你的服务器不是HTTPS的协议,想要添加例外可以在程序中的info.plist文字间 添加例外。甚至是你不想开启ATS的话,都可以在配置文件中进行配置。关于配置项可以参考下表:

KeyType备注
NSAppTransportSecurityDictionary根属性
NSAllowsArbitraryLoadsBoolean一级属性
NSExceptionDomainsDictionary一级属性
< domain-name-for-exception-as-string >Dictionary二级属性
NSExceptionMinimumTLSVerionString三级属性
NSExceptionRequiresForwardSecrecyBoolean三级属性
NSExceptionAllowsInsecureHTTPLoadsBoolean三级属性
NSIncludesSubdomainsBoolean三级属性
NSThirdPartyExceptionMinimumTLSVersionString三级属性
NSThirdPartyExceptionRequiresForwardSecrecyBoolean三级属性
NSThirdPartyExceptionAllowsInsecureHTTPLoadsBoolean三级属性

属性的目录结构如下:
* NSAppTransportSecurity
* NSAllowsArbitraryLoads
* NSExceptionDomains
* < domain-name-for-exception-as-string >
* NSExceptionMinimumTLSVerion
* NSExceptionRequiresForwardSecrecy
* NSExceptionAllowsInsecureHTTPLoads
* NSIncludesSubdomains
* NSThirdPartyExceptionMinimumTLSVersion
* NSThirdPartyExceptionRequiresForwardSecrecy
* NSThirdPartyExceptionAllowsInsecureHTTPLoads

属性详解

  • NSAppTransportSecurity : 一个用于配置App Transport Security行为的属性,在Info.plist中是于Bundle Identifier同一级别的属性。
  • NSAllowsArbitraryLoads : 一个用于针对不在NSExceptionDomains中的配置项。如果设置成YES,则对于那些不在NSExceptionDomains的域则不需要通过ATS的验证。默认值是No
  • NSExceptionDomains : 用于配置例外的配置项,即在该配置项中的域不需要通过ATS的验证。
  • < domain-name-for-exception-as-string > : 需要添加例外的域名字符串,如:www.baidu.com
  • NSExceptionMinimumTLSVerion : 用于指定例外域名的TSL的版本号,可用的配置有TLSv1.0TLSv1.1以及TLSv1.2三个配置项。

  • NSExceptionRequiresForwardSecrecy : 用于指定所配置的域协议是否在ATS的所要求的第三点中。如果是YES,则说明所配置的域符合要求的第三点,如果是NO, 则加密算法必须是以下这几种。默认值是YES

    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA
    TLS_RSA_WITH_AES_128_CBC_SHA256
    TLS_RSA_WITH_AES_128_CBC_SHA

  • NSExceptionAllowsInsecureHTTPLoads : 用于指明所配置的域是否个HTTPS的服务器。用这个配置可用访问那些没有证书、自签名证书、过期证书以及证书与域名匹配不上的服务器。默认值是NO

  • NSIncludesSubdomains : 用于指明子域名是否使用同样的配置。默认值是NO
  • NSThirdPartyExceptionMinimumTLSVersion : 该变量在如果是域名为第三的域名,且开发人员无法控制的情况下进行配置。
  • NSThirdPartyExceptionRequiresForwardSecrecy : 该变量在如果是域名为第三的域名,且开发人员无法控制的情况下进行配置。
  • NSThirdPartyExceptionRequiresForwardSecrecy : 该变量在如果是域名为第三的域名,且开发人员无法控制的情况下进行配置。

事例讲解

只有HTTPS

如果你的APP所访问的所有的服务器都只有HTTPS的话,那么恭喜你,完全不需要配置ATS你的App即可使用,也就是说iOS 9中的ATS对你来说并没有什么卵用。

所有网址都不经过ATS(关闭ATS)

这个配置最简单,只要通过配置NSAllowsArbitraryLoads,将其设置成No即可。具体如下:
关闭ATS

所有网址都经过ATS,添加一些例外(白名单)

如果你想App中的网址都通过ATS验证,只有少数一些网址例外的话,你可以为少数的网址添加NSExceptionDomains,并且在下面添加你需要添加的网址即可。然后对每个网址进行分别的设置,其中将NSIncludeSubdomains以及NSExceptionAllowsInsecureHttpLoads设置成YES,即可不通过ATS验证。具体如下:
部分添加例外的配置

所有网址都不经过ATS,添加例外

如果你想App大部分的网址都不经过ATS,少数几个网址通过ATS验证的话,你可以先将NSAllowsArbitraryLoads设置成YES,这样就可以使所有网址都不经过ATS,然后将少数一些需要经过ATS验证的网址添加到NSExceptionDomains中,并将NSExceptionAllowsInsecureHTTPLoads设置成NO即可。具体如下:
部分通过ATS配置

使用低等级版本的TLS协议

如果你使用的服务器没办法支持TLS1.2的协议的话,也不大要紧,可以通过配置来支持低版本的TLS协议。将对应没办法进行高版本的服务器在NSExceptionDomains下建立一个的对应的域名,在对应域名下添加NSExceptionRequiresForwardSecrecy设置成NO并且将NSExceptionMinimumTLSVersion设置成对应的TLS的版本号即可。具体如下:
低等级协议配置

如何配置

其实在Mac OS X 10.11中,苹果给我们提供了个超牛逼的功能,简单来说就是提供了一个命令行的工具来产生对应的配置项给我们。但是由于我没有升级到Mac OS X10.11X所以我就没办法进行测试了。至于其中的奥秘,等更新了系统之后再进行补充。

youtk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS 9无法访问HTTP的解决方法
01-20
iOS 9之后,苹果默认要求App访问的url必须为https的安全链接,http链接确实是不安全的,如果在开发过程中请求失败,控制台显示http不安全要用https之类的信息的话,那就是由于这个原因了。但是由于并非所有开发者都会去申请HTTPS证书来支持HTTPS访问,所以还是可以进行设置来正常访问HTTP的,方法如下: 1、在Xcode工程中找到Info.plist文件,做iOS开发的应该都了解这是一个做一些应用配置的文件; 2、在Info.plist文件中添加Dictionary类型的NSAppTransportSecurity字段; 3、在NSAppTransportSecurity
iOS9新特性介绍及解决方案(包括Xcode)
12-11
iOS9新特性介绍及解决方案!iOS 9 新特性 1.网络适配-Https HTTP请求失败 解决了编译问题后,程序跑起来了,却发现很多网络请求失败。这是因为iOS9默认不支持HTTP请求,需要改用更安全的HTTPS(默认用TLS 1.2)。 但事实上,有些地方用HTTP比HTTPS更适合,而且把服务端升级到TLS 1.2也不是一时半会能够搞定的。幸好苹果还提供了配置,使得所有安全性更低的网络请求也能使用,解决方案就是在info.plist里面增加以下配置: <key>NSAppTransportSecurity</key> <dict> <key>NSAllowsArbitraryLoads</key> <true/> </dict>
ats-toggle:为iOS Info.plist切换NSAppTransportSecurity
04-02
ATS切换 ats-toggle是一个简单的命令行工具,用于检查和切换iOS项目的Info.plist文件中的App Transport Security配置。 安装 在您的项目中安装该软件包。 yarn add ats-toggle 用法 显示给定Info.plist文件的当前状态 yarn ats-toggle show path/to/Info.plist 切换给定Info.plist文件的状态 yarn ats-toggle toggle path/to/Info.plist 获取有关工具命令的帮助 yarn ats-toggle help 执照 麻省理工学院许可证(c)2021,理查德·马克斯(Richard Marks)
cordova-ios-security
04-27
cordova-ios-security cordova plugin add https://github.com/robertklein/cordova-ios-security.git 它将在构建过程中将以下部分添加到*-Info.plist文件中: <key>NSAppTransportSecurity</key> <dict> <key>NSAllowsArbitraryLoads</key> <true> </dict>
iOS9种关于App Transport Security详细说明
pop_xiaohao的专栏
10-11 4626
1、ios9更新介绍       因为有开发者账号在apple提供iOS 9beta 测试版,就马上更新iOS9,期间发现许多应用用不了,一打开就闪退或者更本连接不上网络。有种白老鼠的心情。这其中主要原因是iOS9系统的更新,开发的应用需要进行处理以适配iOS9。另外我也 更新了最新版的xcode以及osx ei cation,由其在新版本xcode下打开原来的代码,发现代码有许多地方报错,这个
ATS(App Transport Security)配置及安全评估
littlecjx
12-26 2072
ATS简介 ATS的全称是App Transport Security,是从iOS9开始引入的安全项,目的是推广使用https,禁用http,这一安全项在iOS10得到进一步加强。 iOS9中ATS配置 iOS9中默认强制使用https,但是如果Info.plist文件中加入以下节点,就可以关闭这个安全项,允许app使用http。 &lt;key&gt;NSAppTransportSecurity...
NSAppTransportSecurity的相关配置
czxghostyueqiu的专栏
09-23 3641
App的Info.plist中添加NSAppTransportSecurity的相关配置,用以禁用ATS或者添加白名单,可用的配置参数如下: NSAllowsArbitraryLoads - 设置true即支持所有HTTP请求 NSExceptionDomains - 添加白名单 NSExceptionMinimumTLSVersion - 白名单指定域名支持的TLS版本 NSExcept
iOS 允许http请求 关于NSAppTransportSecurity 和 NSExceptionDomains 的关系
金鱼的博客
07-16 2926
当项目设置了 NSExceptionDomains, 不管 NSAllowsArbitraryLoads 是 true/false, NSExceptionDomains 下面 NSExceptionAllowsInsecureHTTPLoads 的值决定了是否允许 http 请求 以阿里云的域名为例, 访问http://aliyuncs.com 以下两种情况允许 http 请求 允许个别域名 http 请求: (1) NSAllowsArbitraryLoads: false, (2) NSExce
ios应用网络安全之HTTPS
dexi113的博客
06-24 806
iOS开发中,从Xcode7和iOS9开始,Apple提升了App的网络安全性,App默认只能进行对采用权威机构签名颁发证书的Web站点进行访问(信任的HTTPS),而自签名的证书的HTTPS站点也被列为属于例外,所以我们需要在App的Info.plist中单独为我们的域名设置。那么手动加入信任列表,这样会导致证书的验证过程压根没发生,虽然可以成功访问目标服务器返回我们需要的数据,其实,这中间很有可能返回的数据不是正真的目标服务器返回的数据,也可能是网络传输中间的第三者伪装返回的数据。
关于iOS9中的App Transport Security相关说明及适配
探秘
10-15 2507
iOS9中新增App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。原文如下: App Transport Security   App Transport Security (ATS) enforces best pr
bjx-live-ios-demo
04-07
iOS 11.0 及以上 添加权限: <key>NSAppTransportSecurity <key>NSAllowsArbitraryLoads <key>NSCameraUsageDescription 应用需要获取相机权限 <key>NSMicrophoneUsageDescription 应用需要获取麦克风...
App Transport Security(ATS)
zongzi4302的博客
09-18 561
App Transport Security
苹果新『应用通信安全』的理解和使用
donwei8的专栏
06-07 527
这篇文章是对WWDC大会中提出的App Transport Security(应用通讯安全)模式的解读,苹果在 App Transport Security Technote 中也进行了解读。 随着iOS 9和OS X EI Capitan 的发布,苹果官方引入了应用通讯安全模式的概念。简而言之,应用通讯安全模式强制性要求应用需要使用最佳的安全通讯协议,比如TLS 1.2版本和前向保密技
项目适配iOS9遇到的一些问题及解决办法(更新两个小问题)
weixin_30338481的博客
09-23 120
http://www.jianshu.com/p/631bd7f12a38 1.网络请求报错。升级Xcode 7.0发现网络访问失败。输出错误信息 The resource could not be loaded because the App Transport Security policy requires the use of a secure connectio...
iOS 域名白名单 NSExceptionDomains 的配置
boaosady的博客
10-25 1527
iOS 域名白名单:Error Domain=NSURLErrorDomain Code=-1200 "An SSL error has occurred and a secure connection to the server cannot be made."
《App Transport Security Technote》翻译
克雷兹的专栏
09-22 1000
都说iOS 9增强了HTTP传输的安全性,不使用HTTPS你的App就用没法进行网络交互了,开发必须要加班,服务器必须要升级……真的是这样吗?苹果宣扬的传输安全提升中到底做了什么?说得再多不如看一篇官方文献。第一次自己翻译,水平不高,大家见谅……
IOS-关于App Transport Security相关说明及适配
Try My Best!
12-13 7277
iOS9中新增App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。原文如下: App Transport Security App Transport Security (ATS) enforces best practices in th
iOShttps App内部的http请求进行白名单设置
weixin_42610770的博客
05-07 658
链接:https://www.jianshu.com/p/a97e33755e24。来请求,ASI是使用CFNetwork来处理请求的,更底层些,避开了苹果的限制。商业转载请联系作者获得授权,非商业转载请注明出处。2.在Info.plist文件设置如下。
https
ago_lei的博客
12-14 1374
http://www.2cto.com/kf/201611/570823.html
磁卡ios7811-7816
最新发布
11-30
磁卡ios7811-7816是一种常见的磁卡标准,通常用于信用卡、借记卡和其他身份证明卡。它是国际上广泛使用的一种磁条卡标准,其设计和规范由国际标准化组织(ISO)制定。 这种磁卡标准包括了卡片的物理尺寸、磁条的编码方法、数据格式以及安全要求等内容。磁卡ios7811-7816卡片上通常包括了卡号、有效期、持卡人姓名等重要信息,这些信息可以通过磁条读卡器来进行读取和验证。 相比于近年来兴起的芯片卡技术,磁卡ios7811-7816的安全性相对较低,容易受到数据盗取和篡改的风险。因此在一些领域,磁卡ios7811-7816正被逐渐替代或者补充,以提升支付和身份验证的安全性。 总的来说,磁卡ios7811-7816是一种历史悠久的磁条卡标准,虽然在安全性方面存在一些问题,但在全球范围内仍然得到了广泛应用。随着科技的不断发展和创新,我们有理由相信未来会有更多更安全的支付和身份验证技术出现,为人们的生活带来更多便利和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值