最新 配置Https 2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS

2023-11-09 00:40
文章标签 配置 app https 所有 提交 开启 最新 强制 2017 ats store 必须 日起

本文主要是介绍最新 配置Https 2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  1. 一.项目中的网络交互都是基于AFN,要求AFN版本在3.0及其以上;  
  2.   
  3. 二.代码部分  
  4. 设置AFN请求管理者的时候 添加 https ssl 验证。  
  5. // 1.获得请求管理者  
  6. AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];  
  7. // 2.加上这个函数,https ssl 验证。  
  8. [manager setSecurityPolicy:[self customSecurityPolicy]];  
  9.   
  10. // https ssl 验证函数  
  11.   
  12. - (AFSecurityPolicy *)customSecurityPolicy {  
  13.       
  14.     // 先导入证书 证书由服务端生成,具体由服务端人员操作  
  15.     NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"xxx" ofType:@"cer"];//证书的路径  
  16.     NSData *cerData = [NSData dataWithContentsOfFile:cerPath];  
  17.       
  18.     // AFSSLPinningModeCertificate 使用证书验证模式  
  19.     AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];  
  20.          // allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO  
  21.     // 如果是需要验证自建证书,需要设置为YES  
  22.     securityPolicy.allowInvalidCertificates = YES;  
  23.       
  24.     //validatesDomainName 是否需要验证域名,默认为YES;  
  25.     //假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。  
  26.     //置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。  
  27.     //如置为NO,建议自己添加对应域名的校验逻辑。  
  28.     securityPolicy.validatesDomainName = NO;  
  29.       
  30.     securityPolicy.pinnedCertificates = [[NSSet alloc] initWithObjects:cerData, nil nil];  
  31.       
  32.     return securityPolicy;  
  33. }  
  34.   
  35.   
  36. 三.关于证书 参考文章:http://www.2cto.com/Article/201510/444706.html  
  37. 服务端给的是crt后缀的证书,其中iOS客户端用到的cer证书,是需要开发人员转换:  
  38. 1.证书转换  
  39. 在服务器人员,给你发送的crt证书后,进到证书路径,执行下面语句  
  40.   
  41. openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der  
  42.   
  43. 这样你就可以得到cer类型的证书了。双击,导入电脑。  
  44. 2.证书放入工程  
  45. 1、可以直接把转换好的cer文件拖动到工程中。  
  46. 2、可以在钥匙串内,找到你导入的证书,单击右键,导出项目,就可以导出.cer文件的证书了  
  47. 或者直接在你网站上下载 例如:kyfw.12306.cn:443的:
  48.   openssl s_client -connect kyfw.12306.cn:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer
  49. 参考链接:http://www.jianshu.com/p/97745be81d64。  
  50.    
  51. 四.在info.plist去掉之前允许http加载的代码 就是删除下面的代码(么有的就省了这一步)  
  52.  <key>NSAppTransportSecurity</key>  
  53.     <dict>  
  54.  <key>NSAllowsArbitraryLoads</key>  
  55.  <true/>  
  56.     </dict>  


[objc]  view plain copy
在CODE上查看代码片 派生到我的代码片
  1. 一、  
  2.  201711日起所有提交到 App Store 的App必须强制开启 ATS。  
  3.  就是要求去掉 Info.plist 的 NSAllowsArbitraryLoads  
  4.  1.这要求所有通过APP发送的网络请求都需要https  
  5.    
  6.  2.开启ATS,图片(例如图像的URL)等静态文件的url需要用https,否则会无法加载;  
  7.    
  8.  3.对于H5,网页浏览和视频播放的行为,iOS 10 中新加入了NSAllowsArbitraryLoadsInWebContent 键。通过将它设置为 YES ,  
  9.  可以让你的 app 中的 WKWebView 和使用 AVFoundation 播放的在线视频不受 ATS 的限制。  
  10.  这也应该是绝大多数使用了相关特性的 app 的选择。但是坏消息是这个键在 iOS 9 中并不会起作用.  
  11.    
  12.  4.iOS9中可以选择使用 NSExceptionDomains 来针对特定的域名开放 HTTP 应该要相对容易过审核。“需要访问的域名是第三方服务器,他们没有进行 HTTPS 对应”会是审核时的一个可选理由,但是这应该只需要针对特定域名,而非全面开放。如果访问的是自己的服务器的话,可能这个理由会无法通过。是需要在Info.plist 配置中的XML源码  
  13.      <key>NSAppTransportSecurity</key>  
  14.      <dict>  
  15.          <key>NSExceptionDomains</key>  
  16.          <dict>  
  17.              <key>XXX.com</key>  
  18.              <dict>  
  19.                  <!--适用于这个特定域名下的所有子域-->  
  20.                  <key>NSIncludesSubdomains</key>  
  21.                  <true/>  
  22.                  <!--扩展可接受的密码列表:这个域名可以使用不支持 forward secrecy 协议的密码-->  
  23.                  <key>NSExceptionRequiresForwardSecrecy</key>  
  24.                  <false/>  
  25.                  <!--允许App进行不安全的HTTP请求-->  
  26.                  <key>NSExceptionAllowsInsecureHTTPLoads</key>  
  27.                  <true/>  
  28.                  <!--在这里声明所支持的 TLS 最低版本-->  
  29.                  <key>NSExceptionMinimumTLSVersion</key>  
  30.                  <string>TLSv1.1</string>  
  31.              </dict>  
  32.          </dict>  
  33.      </dict>  
  34.    
  35.  二、  
  36.  目前项目中用到的第三方已经支持https的有  
  37.  WKWebView  
  38.  UIWebView  
  39.  SDWebImage  
  40.  支付宝SDK  
  41.  微信支付SDK  
  42.  友盟SDK  
  43.  极光推送SDK  
  44.    
  45.  其中用到的UIWebView 以后要逐步替换为WKWebView  

如果报错
Error Domain=NSURLErrorDomain Code=-1200 "发生了 SSL 错误,无法建立与该服务器的安全连接。" UserInfo={NSURLErrorFailingURLPeerTrustErrorKey=<SecTrustRef: 0x15dd87140>, NSLocalizedRecoverySuggestion=您仍要连接此服务器吗?, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9802, NSErrorPeerCertificateChainKey=<CFArray 0x15df6b640 [0x1a08d5150]>{type = immutable, count = 1, values = (
0 : <cert(0x15f3559e0) s: dbh i: dbh>
)}, NSUnderlyingError=0x15dd5f770 {Error Domain=kCFErrorDomainCFNetwork Code=-1200 "(null)" UserInfo={_kCFStreamPropertySSLClientCertificateState=0, kCFStreamPropertySSLPeerTrust=<SecTrustRef: 0x15dd87140>, _kCFNetworkCFStreamSSLErrorOriginalValue=-9802, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9802, kCFStreamPropertySSLPeerCertificates=<CFArray 0x15df6b640 [0x1a08d5150]>{type = immutable, count = 1, values = (
0 : <cert(0x15f3559e0) s: dbh i: dbh>
)}}}, NSLocalizedDescription=发生了 SSL 错误,无法建立与该服务器的安全连接。, NSErrorFailingURLKey=https://192.168.1.138/app/login/login.json, NSErrorFailingURLStringKey=https://192.168.1.138/app/login/login.json, NSErrorClientCertificateStateKey=0}
可能是服务器配置的证书不对,苹果要求是TLS1.2,服务端配置是TLS1.0。
也有可能是后台签名算法问题 https://my.oschina.net/vimfung/blog/494687



iOS适配https参考链接: https://github.com/ChenYilong/iOS9AdaptationTips

证书生成的参考链接:http://www.2cto.com/Article/201510/444706.html

证书转换的参考链接:http://www.jianshu.com/p/97745be81d64

这篇关于最新 配置Https 2017年1月1日起所有提交到 App Store 的App必须强制开启 ATS的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/373302

相关文章

Android开发环境配置避坑指南

Android开发环境配置避坑指南

《Android开发环境配置避坑指南》本文主要介绍了Android开发环境配置过程中遇到的问题及解决方案,包括VPN注意事项、工具版本统一、Gerrit邮箱配置、Git拉取和提交代码、MergevsR... 目录网络环境:VPN 注意事项工具版本统一:android Studio & JDKGerrit的邮
阅读更多...
Maven中引入 springboot 相关依赖的方式(最新推荐)

Maven中引入 springboot 相关依赖的方式(最新推荐)

《Maven中引入springboot相关依赖的方式(最新推荐)》:本文主要介绍Maven中引入springboot相关依赖的方式(最新推荐),本文给大家介绍的非常详细,对大家的学习或工作具有... 目录Maven中引入 springboot 相关依赖的方式1. 不使用版本管理(不推荐)2、使用版本管理(推
阅读更多...
SpringBoot3.4配置校验新特性的用法详解

SpringBoot3.4配置校验新特性的用法详解

《SpringBoot3.4配置校验新特性的用法详解》SpringBoot3.4对配置校验支持进行了全面升级,这篇文章为大家详细介绍了一下它们的具体使用,文中的示例代码讲解详细,感兴趣的小伙伴可以参考... 目录基本用法示例定义配置类配置 application.yml注入使用嵌套对象与集合元素深度校验开发
阅读更多...
IntelliJ IDEA 中配置 Spring MVC 环境的详细步骤及问题解决

IntelliJ IDEA 中配置 Spring MVC 环境的详细步骤及问题解决

《IntelliJIDEA中配置SpringMVC环境的详细步骤及问题解决》:本文主要介绍IntelliJIDEA中配置SpringMVC环境的详细步骤及问题解决,本文分步骤结合实例给大... 目录步骤 1:创建 Maven Web 项目步骤 2:添加 Spring MVC 依赖1、保存后执行2、将新的依赖
阅读更多...
SpringBoot基于配置实现短信服务策略的动态切换

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾
阅读更多...
如何为Yarn配置国内源的详细教程

如何为Yarn配置国内源的详细教程

《如何为Yarn配置国内源的详细教程》在使用Yarn进行项目开发时,由于网络原因,直接使用官方源可能会导致下载速度慢或连接失败,配置国内源可以显著提高包的下载速度和稳定性,本文将详细介绍如何为Yarn... 目录一、查询当前使用的镜像源二、设置国内源1. 设置为淘宝镜像源2. 设置为其他国内源三、还原为官方
阅读更多...
CentOS7更改默认SSH端口与配置指南

CentOS7更改默认SSH端口与配置指南

《CentOS7更改默认SSH端口与配置指南》SSH是Linux服务器远程管理的核心工具,其默认监听端口为22,由于端口22众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击,本文将系统性地介绍... 目录引言为什么要更改 SSH 默认端口?步骤详解:如何更改 Centos 7 的 SSH 默认端口1
阅读更多...
springboot项目如何开启https服务

springboot项目如何开启https服务

《springboot项目如何开启https服务》:本文主要介绍springboot项目如何开启https服务方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录springboot项目开启https服务1. 生成SSL证书密钥库使用keytool生成自签名证书将
阅读更多...
Maven的使用和配置国内源的保姆级教程

Maven的使用和配置国内源的保姆级教程

《Maven的使用和配置国内源的保姆级教程》Maven是⼀个项目管理工具,基于POM(ProjectObjectModel,项目对象模型)的概念,Maven可以通过一小段描述信息来管理项目的构建,报告... 目录1. 什么是Maven?2.创建⼀个Maven项目3.Maven 核心功能4.使用Maven H
阅读更多...
SpringBoot多数据源配置完整指南

SpringBoot多数据源配置完整指南

《SpringBoot多数据源配置完整指南》在复杂的企业应用中,经常需要连接多个数据库,SpringBoot提供了灵活的多数据源配置方式,以下是详细的实现方案,需要的朋友可以参考下... 目录一、基础多数据源配置1. 添加依赖2. 配置多个数据源3. 配置数据源Bean二、JPA多数据源配置1. 配置主数据
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2