对于实际项目中使用https的话,可以参考官方文档:
https://developer.android.google.cn/topic/security/best-practices
对于不想配置网络安全的应用设置如下代码:
<application
android:usesCleartextTraffic="true"
>
</application>
如果想设置网络安全过滤内容,设置让如下:
network_security_config.xml文件是自己写的,自行百度用法
<application
android:networkSecurityConfig="@xml/network_security_config">
</application>
通常来说,在network_security_config.xml都是进行了如下配置:
<network-security-config>
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
<certificates src="user" />
</trust-anchors>
</base-config>
</network-security-config>
这样程序就可以访问了,但是以上程序只是让程序不报错,Android的初衷并没有做到。数据依然还是明文显示。以上代码的意思是默认情况下system和user证书通过明文进行数据传输。
或者有人会进行以下配置:
<domain-config cleartextTrafficPermitted="false">
<domain includeSubdomains="true">www.baidu.com</domain>
</domain-config>
这样来说只有该域名极其子域名下面可以进行访问。通常情况下,我们的网络访问域名都是比较多的。因此需要将以上两者进行结合使用,完整代码如下:
<?xml version="1.0" encoding="utf-8"?>
<!-- 参考链接: https://developer.android.google.cn/training/articles/security-config -->
<network-security-config>
<base-config cleartextTrafficPermitted="true"><!--明文显示-->
<!-- 默认明文所有请求为明文请求,没有在 domain-config 中配置的选项都会使用该默认配置 -->
<trust-anchors><!--添加信任的证书-->
<certificates src="system" />
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="false"><!--该域名下面进行加密-->
<domain includeSubdomains="true">sapi.dq.ink</domain>
</domain-config>
</network-security-config>
另外在基础代码中将<certificates src="user" />
移除,表示用户通过自己安装的证书进行获取数据将没有办法看到加密后的数据。否则的话可以使用fiddler进行抓包查看数据。