2017 ATS

ATS (App Transport Security) 是 Apple 在 WWDC 15 提出的推进网络通讯安全的一个重要方式。

从 iOS 9 开始，默认情况下非 HTTPS 的网络访问是被禁止的。

我们之前的版本会在工程文件 Info.plist 中添加 NSAppTransportSecurity 配置项，并且将 NSAllowsArbitraryLoads 设置为 YES 来禁用 ATS， 以达到访问 HTTP 请求的目的。

从 2017 年 1 月 1 日起，所有的新提交 app 默认是不允许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制的。

【 按照苹果以往出新规后对于已经上线的应用的处理惯例，线上版本应该不会有影响，但目前这部分的影响还没有官方的解释。】

如果设置 NSAllowsArbitraryLoads 为 YES 来禁用 ATS，需要在提交 app 时进行说明，为什么需要访问非 HTTPS 内容。
【 类似浏览器类的 app 可能比较容易能通过。】

原则上 app 的所有网络请求都需要使用 HTTPS ，否则可能会在应用审核时被拒。

有以下几点需要大家注意，开发人员需评估自己的模块是否有以下情况，特别是工程中引入的第三方服务和静态库的要注意第3、4点：

1. 自有服务下（公司自己的域名下）所有的 API 请求需要使用最低支持 TLSv1.2 标准的 HTTPS 。

2. 针对 WebView，iOS10 中新加入了 NSAllowsArbitraryLoadsInWebContent 键。通过将它设置为 YES， WKWebView 的使用不受 ATS 的限制。但这个键在 iOS9 中并不会起作用。

【 通过 WKWebView 打开 页面会和UIWebView有很多的不兼容，所以很有可能无法切换。】

如果要在 WebView 中支持 HTTP，并同时兼容 iOS9 版本，只能是禁用 ATS，提审时向苹果说明。

【 作为一个非浏览器或类似非微信频繁访问不同 web 域的应用，禁用 ATS 后通过审核的可能性很小，除非苹果认可我们的申请原因。】

对于 WebView 建议是尽早全站支持 HTTPS 。

3. 针对不支持 HTTPS 的第三方服务，可以在工程文件 Info.plist 中添加 NSExceptionDomains 来针对第三方服务下特定的域名开放 HTTP 。

【 需要在提审时说明该特定域名是第三方服务器，暂时不支持 HTTPS 。如果添加的是自有服务域名，可能这个理由会无法通过。】

4. 针对第三方服务只能支持 TLSv1.2 标准以下的 HTTPS，需要与第三方服务确定详细版本，并在工程文件 Info.plist 中添加 NSExceptionMinimumTLSVersion 来针对第三方服务下特定的域名定义所支持的TLS版本。

需要特别注意，如果  NSAppTransportSecurity 配置项中设置以下内容，但提审时没有向苹果提交合理的解释，那么会100%被拒：

NSAllowsArbitraryLoads：该字段设置为 YES（相当于关闭 ATS）

NSExceptionAllowsInsecureHTTPLoads：通过该字段配置自有服务 HTTP的域

NSExceptionMinimumTLSVersion：通过该字段配置自有服务低于 TLSv1.2 标准的 HTTPS 的域