ATS(App Transport Security)配置及安全评估

最新推荐文章于 2023-05-10 12:02:21 发布
最新推荐文章于 2023-05-10 12:02:21 发布
阅读量2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjx529377/article/details/85270681
版权

ATS简介

ATS的全称是App Transport Security,是从iOS9开始引入的安全项,目的是推广使用https,禁用http,这一安全项在iOS10得到进一步加强。

iOS9中ATS配置

iOS9中默认强制使用https,但是如果Info.plist文件中加入以下节点,就可以关闭这个安全项,允许app使用http。

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
<dict>

iOS10中ATS配置

iOS10中,苹果更加坚定地推行了ATS安全项,不允许开发者全局关闭ATS安全项,但是可以添加不受ATS限制的域名。下面配置项就是允许qq.com域名使用http,这样的配置比iOS9一刀切的方法更安全一些。

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>qq.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <false/>
        </dict>
    </dict>
</dict>

以小米运动的ipa包看一下iOS10中的ATS配置项,查看Info.plist文件,可以看到NSAppTransportSecurity和NSExceptionDomains,NSExceptionDomains下的域名就是允许使用http的域名。
小米运动ATS安全配置

ATS安全评估

将ipa包上传至MobSF扫描框架,会进行ATS安全项检查。凡是有允许http使用的配置都会有风险提示,安全人员在评估风险时,要注意如果是自己的域名被允许使用http,那么风险是可控的,如果像iOS9中关闭了ATS,那么app在访问一些http链接时存在泄漏敏感数据的风险。

因此安全人员在进行评估过程中,需要提示风险的情况有:

  1. iOS9中将NSAllowsArbitraryLoads设置为true。
  2. iOS10中将未知的域名排除在ATS的限制之外。
littlecjx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IOS 9 App Transport Security 详解
06-02
IOS 9 App Transport Security 详解。
ios应用网络安全之HTTPS
dexi113的博客
06-24 825
在iOS开发中,从Xcode7和iOS9开始,Apple提升了App的网络安全性,App默认只能进行对采用权威机构签名颁发证书的Web站点进行访问(信任的HTTPS),而自签名的证书的HTTPS站点也被列为属于例外,所以我们需要在App的Info.plist中单独为我们的域名设置。那么手动加入信任列表,这样会导致证书的验证过程压根没发生,虽然可以成功访问目标服务器返回我们需要的数据,其实,这中间很有可能返回的数据不是正真的目标服务器返回的数据,也可能是网络传输中间的第三者伪装返回的数据。
App Transport Security相关说明
weixin_30820151的博客
11-24 161
App Transport SecurityATS)的网络安全机制,适用于 app 以及 app extension,默认开启,即iOS9.0以后创建APP项目默认使用HTTPS请求。 NSAllowsArbitraryLoads是字典NSAppTransportSecurity的根键,默认值NO。 一、如果APP 仍需使用http请求,解决方案是在Info.plist文件中将NSAllow...
iOS10 ATS 配置详细介绍
09-01
主要介绍了iOS10 ATS 配置详细介绍的相关资料,这里举例说明该如何配置,需要的朋友可以参考下
通过IOS-ATS检测版本apatch配置
11-13
通过IOS-ATS检测版本apatch配置,解压开 安装https openssl 把对应的so放入到mouad里面去 然后根据配置文件进行 操作
iOS9 - NSAppTransportSecurity
Pluto Y的博客
09-24 2998
iOS9 - NSAppTransportSecurity App Transport Security HTTPS
NSAppTransportSecurity的相关配置
czxghostyueqiu的专栏
09-23 3642
App的Info.plist中添加NSAppTransportSecurity的相关配置,用以禁用ATS或者添加白名单,可用的配置参数如下: NSAllowsArbitraryLoads - 设置true即支持所有HTTP请求 NSExceptionDomains - 添加白名单 NSExceptionMinimumTLSVersion - 白名单指定域名支持的TLS版本 NSExcept
iOS 允许http请求 关于NSAppTransportSecurity 和 NSExceptionDomains 的关系
金鱼的博客
07-16 2976
当项目设置了 NSExceptionDomains, 不管 NSAllowsArbitraryLoads 是 true/false, NSExceptionDomains 下面 NSExceptionAllowsInsecureHTTPLoads 的值决定了是否允许 http 请求 以阿里云的域名为例, 访问http://aliyuncs.com 以下两种情况允许 http 请求 允许个别域名 http 请求: (1) NSAllowsArbitraryLoads: false, (2) NSExce
iOS9种关于App Transport Security详细说明
pop_xiaohao的专栏
10-11 4627
1、ios9更新介绍       因为有开发者账号在apple提供iOS 9beta 测试版,就马上更新iOS9,期间发现许多应用用不了,一打开就闪退或者更本连接不上网络。有种白老鼠的心情。这其中主要原因是iOS9系统的更新,开发的应用需要进行处理以适配iOS9。另外我也 更新了最新版的xcode以及osx ei cation,由其在新版本xcode下打开原来的代码,发现代码有许多地方报错,这个
关于iOS9中的App Transport Security相关说明及适配
探秘
10-15 2510
iOS9中新增App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。原文如下: App Transport Security   App Transport Security (ATS) enforces best pr
ATS4 AppModel-开源
04-17
ATS4 AppModel是一个应用程序流程设计工具,支持应用程序规范工作,基于模型的测试和测试脚本生成。 它提供了简单的界面来管理复杂的模型。 ATS4 AppModel是诺基亚ATS工具家族的一部分。
Xcode7.0上面使用http进行请求错误
H_WeiC的专栏
09-29 651
转载至http://www.jianshu.com/p/257a28846956 最近在Xcode 7中向服务器发送请求访问JSON数据时, 控制台打印了以下错误信息: Application Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. T
App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure
panjican的博客
05-04 6459
错误描述     App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's Info.plist file.      
iOS 网络访问安全问题解决方法App Transport Security policy requires the use of a secure connection
harryptter的专栏
12-23 4427
最近游戏项目再接入IOS 第三方SDK的时候本地数据打印都没问题,远端就是接收不到数据,后来发现报了一个错误 The resource could not be loaded because the App Transport Security policy requires the use of a secure connection.  原因是 iOS9引入了新特性App Trans
App Transport Security(ATS)
LGSC的IOS学习之路专栏
09-22 4826
最近下载iOS 9 GM版,然后跑了下我们的应用,发现有些网络请求失效了。先前在WWDC 2015上了解到iOS 9将要求网络请求使用HTTPS协议,但一直没有在iOS 9 beta版上跑过。现在这个问题突显出来了,所以搜了一些博文研究了一下。 我们知道,Apple在安全及用户隐私方面做了很多工作,包括沙盒机制、代码签名、禁用私有API等。而在今年6月份的WWDC 2015上,Apple又提
IOS中:简单解决App Transport Security Settings设置问题
网虫的博客
04-23 9224
ios开发中,由于安全原因,系统会拦截http请求(android开发中也会有这个问题,解决方式相对容易,系统提示比较好)。解决的方法之一是在info.plist中右键选择open as -> source code方式打开文件,在<dict>下添加以下语句: swift中 <key>AppTransportSecurity</key> <d...
App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure解决
05-10 395
选择下图所示选项: App Transport Security Settings。type改为字典 (Dictionary)值改为YES后重新编译启动问题解决。展开并点击添加号添加子项。
ats evaluation
最新发布
09-23
最后,ATS评估还需要评估系统的安全性和隐私保护措施。在处理大量的求职者和企业信息时,系统需要具备高度的安全性和隐私保护机制,以确保数据的机密性和完整性。 总之,ATS评估是对自动招聘系统的性能和准确性进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值