Bezpieczeństwo transportu zablokowało jawny tekst HTTP

Jakie ustawienia muszę wprowadzić, info.plistaby włączyć tryb HTTP zgodnie z poniższym komunikatem o błędzie?

Bezpieczeństwo transportu zablokowało ładowanie zasobu HTTP w postaci jawnego tekstu (http: //), ponieważ jest ono niepewne. Tymczasowe wyjątki można skonfigurować za pomocą pliku Info.plist aplikacji.

Załóżmy, że moja domena to example.com.

Jeśli używasz Xcode 8.0+ i Swift 2.2+ lub nawet Cel C:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Użyj NSAppTransportSecurity:

Trzeba ustawić NSAllowsArbitraryLoads klucz TAK pod NSAppTransportSecurity słownika w pliku Info.plist.

Oto ustawienia wizualnie:

Zobacz post na forum Bezpieczeństwo transportu aplikacji? .

Również strona Konfigurowanie wyjątków bezpieczeństwa transportu aplikacji w iOS 9 i OSX 10.11 .

Na przykład możesz dodać określoną domenę, taką jak:

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>example.com</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
      <true/>
      <!--Include to specify minimum TLS version-->
      <key>NSTemporaryExceptionMinimumTLSVersion</key>
      <string>TLSv1.1</string>
    </dict>
  </dict>
</dict>

Leniwa opcja to:

<key>NSAppTransportSecurity</key>
<dict>
  <!--Include to allow all connections (DANGER)-->
  <key>NSAllowsArbitraryLoads</key>
      <true/>
</dict>

Uwaga:

info.plist jest plikiem XML, więc możesz umieścić ten kod mniej więcej w dowolnym miejscu w pliku.

Zostało to przetestowane i działało na ziarnie iOS 9 GM - jest to konfiguracja umożliwiająca określonej domenie używanie HTTP zamiast HTTPS:

<key>NSAppTransportSecurity</key>
<dict>
      <key>NSAllowsArbitraryLoads</key> 
      <false/>
       <key>NSExceptionDomains</key>
       <dict>
            <key>example.com</key> <!--Include your domain at this line -->
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
                <true/>
                <key>NSTemporaryExceptionMinimumTLSVersion</key>
                <string>TLSv1.1</string>
            </dict>
       </dict>
</dict>

NSAllowsArbitraryLoadsmusi być false, ponieważ uniemożliwia wszelkie niebezpieczne połączenia, ale lista wyjątków umożliwia połączenie z niektórymi domenami bez HTTPS.

Jest to szybkie obejście (ale nie zalecane), aby dodać to do listy:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Co oznacza (zgodnie z dokumentacją Apple ):

NSAllowsArbitraryLoads
Wartość logiczna używana do wyłączania bezpieczeństwa transportu aplikacji dla domen niewymienionych w słowniku NSExceptionDomains. Domeny z listy używają ustawień określonych dla tej domeny.

Domyślna wartość NIE wymaga domyślnego zachowania App Transport Security dla wszystkich połączeń.

Naprawdę polecam linki:

• Uwaga techniczna Apple
• Sesja 706 WWDC 2015 (Bezpieczeństwo i Twoje aplikacje) rozpoczyna się około 1:50
• Sesja WWDC 2015 711 (Networking with NSURLSession)
• Wpis na blogu Wysyłanie aplikacji z zabezpieczeniem transportu aplikacji

które pomagają mi zrozumieć przyczyny i wszystkie implikacje.

Poniższy plik XML (w pliku Info.plist):

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDE</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
        </dict>
    </dict>
</dict>

nie zezwalaj na arbitralne połączenia dla wszystkich stron, ale dla PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDEzezwoli na to, aby połączenia korzystały z protokołu HTTP.

Do powyższego kodu XML możesz dodać:

<key>NSIncludesSubdomains</key>
<true/>

jeśli chcesz zezwolić na niebezpieczne połączenia z poddomenami podanego adresu.

Najlepszym rozwiązaniem jest zablokowanie wszystkich dowolnych ładowań (ustawionych na wartość false) i dodanie wyjątków, aby zezwolić tylko na adresy, o których wiemy, że są w porządku.

Dla zainteresowanych czytelników

Aktualizacja 2018:

Apple nie zaleca wyłączania tego - więcej informacji można znaleźć w 207 sesji WWDC 2018 z dodatkowymi wyjaśnieniami dotyczącymi bezpieczeństwa

Pozostawiając oryginalną odpowiedź ze względów historycznych i fazy rozwoju

Dla tych z Was, którzy chcą więcej informacji na temat tego, dlaczego tak się dzieje, oprócz tego, jak to naprawić, przeczytaj poniżej.

Wraz z wprowadzeniem systemu iOS 9, aby poprawić bezpieczeństwo połączeń między aplikacją a usługami internetowymi, bezpieczne połączenia między aplikacją a usługą internetową muszą być zgodne z najlepszymi praktykami . Zachowanie najlepszych praktyk jest egzekwowane przez App Transport Security w celu:

• zapobiegać przypadkowemu ujawnieniu, oraz
• zapewnić bezpieczne zachowanie domyślne.

Jak wyjaśniono w notatce technicznej App Transport Security , podczas komunikacji z usługą internetową App Transport Security ma teraz następujące wymagania i zachowanie:

• Serwer musi obsługiwać co najmniej protokół Transport Layer Security (TLS) w wersji 1.2.
• Szyfry połączeń są ograniczone do tych, które zapewniają poufność przekazywania (patrz lista szyfrów poniżej).
• Certyfikaty muszą być podpisane przy użyciu algorytmu skrótu podpisu SHA256 lub lepszego, za pomocą klucza RSA o długości 2048 bitów lub większej albo klucza o krzywej eliptycznej (ECC) o długości 256 bitów lub większej.
• Nieprawidłowe certyfikaty powodują ciężką awarię i brak połączenia.

Innymi słowy, twoje żądanie usługi internetowej powinno: a.) Używać HTTPS i b.) Być szyfrowane przy użyciu TLS v1.2 z zachowaniem tajemnicy przekazywania.

Jednak, jak wspomniano w innych postach, możesz zastąpić to nowe zachowanie z App Transport Security, określając niepewną domenę w Info.plistswojej aplikacji.

Aby zastąpić, musisz dodać NSAppTransportSecurity> NSExceptionDomainswłaściwości słownika do swojego Info.plist. Następnie dodasz domenę usługi internetowej do NSExceptionDomainssłownika.

Na przykład, jeśli chcę ominąć zachowanie App Transport Security dla usługi internetowej na hoście www.twojawebservicehost.com, to zrobiłbym następujące:

1. Otwórz aplikację w Xcode.

2. Znajdź Info.plistplik w Nawigatorze projektu i kliknij go prawym przyciskiem myszy i wybierz opcję menu Otwórz jako > Kod źródłowy . Plik listy właściwości pojawi się w prawym okienku.

3. Umieść następujący blok właściwości w głównym słowniku właściwości (pod pierwszym <dict>).

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Jeśli musisz podać wyjątki dla dodatkowych domen, możesz dodać inną właściwość słownika poniżej NSExceptionDomains.

Aby dowiedzieć się więcej na temat wyżej wymienionych kluczy, przeczytaj wspomnianą już notę ​​techniczną .

Nie lubię bezpośrednio edytować listy. Możesz łatwo dodać go do listy za pomocą GUI:

• Kliknij Info.plist w Nawigatorze po lewej stronie.

• Teraz zmień dane w głównym obszarze:

  • W ostatnim wierszu dodaj znak +
  • Wprowadź nazwę grupy: Ustawienia zabezpieczeń transportu aplikacji
  • Kliknij grupę prawym przyciskiem myszy i wybierz Add Row
  • Wprowadź Zezwól na dowolne obciążenia
  • Ustaw wartość po prawej stronie na TAK

Istnieją na to dwa rozwiązania:

Rozwiązania 1:

1. W Info.plistpliku dodaj słownik z kluczem ' NSAppTransportSecurity'
2. Dodaj kolejny element do słownika za pomocą klucza 'Allow Arbitrary Loads'

Plist struktura powinna wyglądać jak pokazano na poniższym obrazku.

Rozwiązanie 2:

1. W Info.plistpliku dodaj słownik z kluczem ' NSAppTransportSecurity'
2. Dodaj kolejny element do słownika za pomocą klucza ' NSExceptionDomains'
3. Dodaj element za pomocą klucza 'MyDomainName.com'typu NSDictionary
4. Dodaj element z kluczem „ NSIncludesSubdomains” typu Booleani wartości ustawionym jakoYES
5. Dodaj element z kluczem „ NSTemporaryExceptionAllowsInsecureHTTPLoads” typu Booleani wartości ustawionym jakoYES

Plist struktura powinna wyglądać jak pokazano na poniższym obrazku.

Preferowane jest rozwiązanie 2, ponieważ pozwala ono tylko na wybraną domenę, podczas gdy rozwiązanie 1 pozwala na wszystkie niepewne połączenia HTTP.

Zabezpieczenia transportu są dostępne w systemie iOS 9.0 lub nowszym. Możesz mieć to ostrzeżenie, gdy próbujesz wywołać WS w swojej aplikacji:

Aplikacja Transport Transport Security zablokowała ładowanie zasobu czystego tekstu HTTP (http: //), ponieważ jest niepewna. Tymczasowe wyjątki można skonfigurować za pomocą pliku Info.plist aplikacji.

Dodanie następujących informacji do Info.plist wyłączy ATS:

<key>NSAppTransportSecurity</key>
<dict>
     <key>NSAllowsArbitraryLoads</key><true/>
</dict>

Przykład rozwoju

Oto zrzut ekranu plista, który utrzymuje ATS w stanie nienaruszonym (= bezpieczny), ale pozwala na nawiązywanie połączeń z hostem lokalnym przez HTTP zamiast HTTPS . Działa w Xcode 7.1.1.

Przejdź do swojej Info.plist

1. Kliknij prawym przyciskiem myszy puste miejsce i kliknij opcję Dodaj wiersz
2. Pod nazwą klucza wpisz NSAppTransportSecurity
3. Wybierz Domeny wyjątków, Dodaj nowy element do tego
4. Zapisz nazwę domeny, do której chcesz uzyskać dostęp
5. Zmień typ domeny z String na Dictionary, dodaj nowy element
6. NSTemporaryExceptionAllowsInsecureHTTPLoads, który będzie wartością logiczną o prawdziwej wartości.

Według Apple, wyłączenie ATS spowoduje odrzucenie aplikacji, chyba że masz ku temu dobry powód. Nawet wtedy należy dodać wyjątki dla domen, do których można bezpiecznie uzyskać dostęp.

Apple ma doskonałe narzędzie, które mówi dokładnie, jakich ustawień użyć: W Terminalu wpisz

/usr/bin/nscurl --ats-diagnostics --verbose https://www.example.com/whatever

a nscurl sprawdzi, czy to żądanie się nie powiedzie, a następnie wypróbuje różne ustawienia i powie dokładnie, które z nich przechodzi i co zrobić. Na przykład dla niektórych adresów URL stron trzecich, które odwiedzam, to polecenie powiedziało mi, że ten słownik przechodzi:

{
    NSExceptionDomains = {
        "www.example.com" = {
            NSExceptionRequiresForwardSecrecy = false;
        };
    };
}

Aby rozróżnić między własnymi witrynami a witrynami stron trzecich, które są poza Twoją kontrolą, użyj na przykład klucza NSThirdPartyExceptionRequiresForwardSecrecy.

Ustalenie, jakich ustawień można użyć automatycznie, jak wspomniano w tej notce technicznej :

/usr/bin/nscurl --ats-diagnostics --verbose https://your-domain.com

UWAGA: Domena wyjątków na liście musi znajdować się w DOLNEJ PRZYPADKU.

Przykład: nazwałeś swój komputer „MyAwesomeMacbook” w Ustawieniach-> Udostępnianie; Twój serwer (do celów testowych) działa na MyAwesomeMacbook.local: 3000, a twoja aplikacja musi wysłać żądanie na http: //MyAwesomeMacbook.local: 3000 / pliki ..., twój list będzie musiał określić „myawesomemacbook. lokalny ”jako domena wyjątku.

-

Twój info.plist zawierałby ...

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>myawesomemacbook.local</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSExceptionAllowsInsecureHTTPLoads</key>
      <true/>
    </dict>
  </dict>
</dict>

Posługiwać się:

Dodaj nowy element, NSAppTransportSecurity , w pliku plist z typem Dictionary , a następnie dodaj element podrzędny NSAllowsArbitraryLoads w słowniku typu Boolean i ustaw wartość bool na TAK . To działa dla mnie.

25.09.2015 (po aktualizacji Xcode 18.09.2015):

Użyłem nie leniwej metody, ale to nie zadziałało. Oto moje próby.

Pierwszy,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSTemporaryExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

I drugi,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Wreszcie użyłem leniwej metody:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Może to być trochę niepewne, ale nie mogłem znaleźć innych rozwiązań.

W swift 4 i xocde 10 jest zmiana NSAllowsArbitraryLoads na Allow Arbitrary Load. będzie to wyglądać tak:

<key>App Transport Security Settings</key>
<dict>
     <key>Allow Arbitrary Loads</key><true/>
</dict>

Warto wspomnieć, jak się tam dostać ...

Info.plist to jeden z plików poniżej Main.storyboard lub viewController.swift.

Kiedy klikniesz go po raz pierwszy, zwykle ma on format tabeli, więc kliknij plik prawym przyciskiem myszy i „otwórz jako” kod źródłowy, a następnie dodaj kod pod koniec, tj .:

 <key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict>

Skopiuj wklej kod powyżej

 "</dict>
</plist>"

który jest na końcu.

Aktualizacja Xcode 7.1, problem 27.10.15:

Nowa wartość w Info.plist to „Ustawienia zabezpieczeń transportu aplikacji”. Stamtąd ten słownik powinien zawierać:

• Pozwól na dowolne obciążenia = TAK
• Domeny wyjątkowe (wstaw tutaj swoją domenę http)

Dla tych, którzy tu przybyli, próbując znaleźć powód, dla którego ich WKWebView jest zawsze biały i nic nie ładuje (dokładnie tak, jak opisano tutaj, jak sprawić, aby WKWebView działał szybko i dla aplikacji macOS ):

Jeśli powyższe informacje dotyczące rakiet nie działają, sprawdź oczywiste: ustawienia piaskownicy

Będąc nowym w swift i kakao, ale z dużym doświadczeniem w programowaniu, spędziłem około 20 godzin na znalezieniu tego rozwiązania. Żaden tuzin samouczków hipster-iOS ani Apple Keynotes - nic nie wspomina o tym małym polu wyboru.

Domyślnie iOS pozwala tylko na HTTPS API. Ponieważ HTTP nie jest bezpieczny, musisz wyłączyć zabezpieczenia transportu aplikacji. Istnieją dwa sposoby wyłączenia ATS: -

1. Dodanie kodu źródłowego w projekcie info.plist i dodaj następujący kod w znaczniku root.

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

2. Korzystanie z informacji o projekcie.

Kliknij projekt w lewym okienku, wybierz projekt jako cel i wybierz kartę informacyjną. Musisz dodać słownik w następującej strukturze.

Jak to naprawić?

Poniżej kroki, aby to naprawić.

Używanie NSExceptionDomainsmoże nie przynosić efektu jednocześnie, ponieważ witryna docelowa może ładować zasoby (np. jsPliki) z domen zewnętrznych http. Można to rozwiązać, dodając również te domeny zewnętrzne NSExceptionDomains.

Aby sprawdzić, które zasoby nie mogą zostać załadowane, spróbuj użyć zdalnego debugowania. Oto samouczek: http://geeklearning.io/apache-cordova-and-remote-debugging-on-ios/

W przypadku Cordova, jeśli chcesz dodać go do pliku ios.json, wykonaj następujące czynności:

"NSAppTransportSecurity": [
   {
      "xml": "<dict><key>NSAllowsArbitraryLoads</key><true /></dict>"
   }
]

I powinno znajdować się w:

"*-Info.plist": {
   "parents": {
   }
}

Jak wielu zauważyło, jest to problem związany z funkcją iOS 9.0. Dodali coś o nazwie App Transport Security, a ja również byłem zirytowany, gdy zepsuło to moje aplikacje.

Możesz bandażować go za pomocą klucza NSAllowsArbitraryLoads na TAK w słowniku NSAppTransportSecurity w pliku .plist, ale ostatecznie będziesz musiał ponownie napisać kod tworzący adresy URL, aby utworzyć prefiks HTTPS: //.

Apple przepisało klasę NSUrlConnection w iOS 9.0. Możesz o tym przeczytać w NSURLConnection .

W przeciwnym razie może być konieczne wycofanie się z iOS 9.0, dopóki nie będziesz mieć czasu na wdrożenie właściwego rozwiązania.