ios应用网络安全之HTTPS

最新推荐文章于 2025-10-29 15:28:30 发布
原创 最新推荐文章于 2025-10-29 15:28:30 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ios #web安全 #https #网络安全 #系统安全 #网络协议 #网络

移动互联网开发中iOS应用的网络安全问题往往被大部分开发者忽略,
iOS9和OS X 10.11开始Apple也默认提高了安全配置和要求.
本文以iOS平台App开发中对后台数据接口的安全通信进行解析和加固方法的分析.

1. HTTPS/SSL的基本原理

安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信。在 SSL 连接中,客户机和服务器在发送数据之前都要对数据进行加密,然后由接受方对其进行解密。

当浏览器(客户端)需要与某个安全站点建立连接时,先建立TCP连接(三次握手),然后再发生 SSL会话握手:

  • 浏览器将通过网络发送请求安全会话的消息(通常请求以 https 而非 http 开头的 URL)。
  • 服务器通过发送其证书(包括公钥)进行响应。
  • 浏览器将检验服务器的证书是否有效,并检验该证书是否是由其证书位于浏览器的数据库中的(并且是可信的)CA 所签发的。它还将检验 CA 证书是否已过期。
  • 如果证书有效,浏览器将生成一个==一次性的、唯一的==会话密钥,并使用服务器的公钥对该会话密钥进行加密。然后,浏览器将把加密的会话密钥发送给服务器,这样服务器和浏览器都有一份会话密钥。
  • 服务器可以使用其专用密钥对消息进行解密,然后恢复会话密钥。

握手之后,即表示客户端已验证了 Web 站点的身份,并且只有该客户端和 Web 服务器拥有会话密钥副本。从现在开始,客户机和服务器便可以使用该会话密钥对彼此间的所有通信进行加密。这样就确保了客户机和服务器之间的通信的安全性。

上面是一般也是应用最普遍的单向验证方式,由浏览器(客户端)来验证服务端的合法性;其实也可以做双向验证,服务器也可以验证浏览器(客户端)的合法性,不过一般使用在银行业务上,比如U盾之类。我们现在关注普遍的单向验证方式的应用。

2. iOS移动开发HTTPS应用现状

当下绝大部份的移动互联网项目都采用HTTP、HTTPS协议作为前后端的数据接口协议。而iOS开发群体中,绝大部分都在项目中应用了第三方开源的HTTP请求框架AFNetworking来快速而高效的开发,毕竟快鱼吃慢鱼的时代嘛。AFNetworking请求HTTP接口简直是简单得不能再简单了。只不过从iOS9.0开始需要设置Info.plist中App Transport Security打开非HTTP的资源加载,因为Apple默认只允许采用经过权威证书颁发机构签名的证书的HTTPS站点的访问,一切是为了安全。安全。安全。
那么我们重点来分析采用HTTPS协议的后台接口的一般使用方式:
HTTPS的服务器配置的证书分两大类,一类是经过权威机构签名颁发的证书,这样证书通常是要花钱买服务的,当然现在也有少数机构提供免费的证书签名服务。另一类就是服务器配置的是研发人员自己签名生成的证书。

3.AFN调用使用权威机构颁发证书的HTTPS接口

现在AFNetworking框架已经修复了上半年爆出的SSL中间人攻击漏洞,并强烈要求开发者使用公钥绑定或者证书绑定的安全策略,那么正确使用AFNetworking请求这类证书的HTTPS站点代码很简单如下:

  AFSecurityPolicy *polic
最低0.47元/天 解锁文章
IOShttps请求认证及双向认证
weixin_45342712的博客
07-16 1253
一、背景: 苹果从IOS9.0以后就要求使用https,今年发布说的是在2017年1月1日后,所有上架的APP必须使用HTTPS(貌似目前推迟了)。不论怎么说,使用https时迟早的事情,之前通过在info.plist文件中设置 NSAppTransportSecurity为NSAllowsArbitraryLoads的方式不起作用了。这篇文章主要就是介绍在IOS中如何将http改造成https。...
iOS: App Transport Security
shuai265的博客
01-23 478
编写了一个简单的Demo,其中一个界面中WebView控件需要进行网络连接,但程序运行时出错: App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's
IOS开发 支持https请求以及ssl证书配置详解
08-31
主要介绍了IOS开发 支持https请求以及ssl证书配置详解的相关资料,需要的朋友可以参考下
NSAppTransportSecurity配置说明
最新发布
旭日的博客
10-29 283
总的来说,你不需要把它们想象成绝对的"冲突",而是理解为 iOS 系统(特别是 iOS 10 及以上版本)赋予 NSAllowsArbitraryLoadsInWebContent 和 NSAllowsLocalNetworking 更高的优先级。NSAppTransportSecurity应用传输安全,简称 ATS)是苹果在 iOS 9 和 macOS 10.11 中引入的一项重要安全特性,旨在提升应用程序网络通信的安全性。
iOS安全系列之一:HTTPS
tyforfreedom的专栏
04-30 774
转自:http://oncenote.com/2014/10/21/Security-1-HTTPS/ iOS安全系列之一:HTTPS HOMEABOUTGUESTBOOKCATEGORIESTAGSLINKSSUBSCRIBE 如何打造一个安全的App?这是每一个移动开发者必须面对的问题。在移动App开发领域,开发工程师对于安全方面的考虑普遍比较欠缺,而由于iOS
iOS应用网络安全HTTPS
weixin_34226182的博客
01-10 162
2019独角兽企业重金招聘Python工程师标准>>> ...
ios应用源码之网络操作 2018128
12-08
"ios应用源码之网络操作 2018128"这个主题涵盖了如何在iOS应用程序中处理网络请求,获取和发送数据。以下是这个主题中的关键知识点: 1. **URLSession**: iOS中的主要网络编程接口是`URLSession`,它取代了旧的`...
iOS应用安全指南
08-23
iOS应用开发中,安全是至关重要的一个环节。随着移动设备和应用程序的广泛使用,攻击者不断寻找漏洞来窃取用户数据或者进行恶意活动。因此,开发者必须掌握iOS应用安全的基本原则和实践方法,以保护用户的隐私和...
IOS应用源码之网络操作 .rar
07-09
这个“iOS应用源码之网络操作 .rar”压缩包很可能是包含了一个或多个示例项目,用于教授如何在iOS应用中进行网络请求和处理响应。在这里,我们将深入探讨iOS网络编程的关键知识点。 首先,iOS应用主要使用HTTP和...
iOS网络请求安全认证(JWT,RSA)
weixin_30868855的博客
12-12 281
网络世界中,安全是一个很重要的问题,以往的HTTP请求已经不能承担这个安全任务,抓包工具一抓,你的所有网络请求全都曝光。当然,你可能会采用加密算法来加密数据,但是这仍然不够。 在移动端和服务器的通信过程中,有两种认证方式:token和session。 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都...
iOS https请求
12-21
iOS https请求
iOS中的HTTPS
weixin_33728708的博客
12-28 182
  在WWDC 15,Apple提出的ATS (App Transport Security),是 Apple 在推进网络通讯安全的一个重要方式。在 iOS 9 和 OS X 10.11 中,默认情况下非 HTTPS网络访问是被禁止的。当然,因为这样的推进影响面非常广,作为缓冲,我们可以在 Info.plist 中添加NSAppTransportSecurity字典并且将NSAllow...
iOS 升级HTTPS通过ATS你所要知道的
cleven
12-05 1909
iOS 升级 HTTPS 通过 ATS 你所要知道的 阅读 1258收藏 1142016-12-3 原文链接:http://www.jianshu.com/p/2d72ef8dbf5a 苹果规定 2017 年 1 月 1 日以后,所有 APP 都要使用 HTTPS 进行网络请求,否则无法上架,本文介绍了一下在 iOS 中使用 HTTPS 请求的实现, 大家可以参考下。 —— 由
iOSHttps设置
u012736002的博客
08-09 627
一、单向认证 HTTPS在建立Socket连接之前,需要进行握手。 1.客户端向服务器端发送SSL协议版本号、加密算法种类、随机数等信息。 2.服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书。 3.客户端使用服务端返回的信息验证服务器的合法性,包括 证书是否过期 发行服务器证书的CA是否可靠 返回的公钥是否能正确解开返回证书中的数...
iOS上实现对HTTPS的支持
培根芝士的专栏
04-28 427
首先,需要明确你使用HTTP/HTTPS的用途,因为OSX和iOS平台提供了多种API,来支持不同的用途,官方文档《Making HTTP and HTTPS Requests》有详细的说明,而文档《HTTPS Server Trust Evaluation》则详细讲解了HTTPS验证相关知识,这里就不多说了。本文主要讲解我们最常用的NSURLConnection支持HTTPS的实现(NSURLS
HTTPS ——iOS
大雕会飞的小记~
01-12 608
HTTPS 其实HTTPS从最终的数据解析的角度,与HTTP没有任何的区别,HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后,在TCP/IP层组成IP数据报去传输,以此保证传输数据的安全;而对于接收端,在SSL/TSL将接收的数据包解密之后,将数据传给HTTP协议层,就是普通的HTTP数据。HTTP和SSL/TSL都处于OSI模型的应用层。从HTTP切换到HTTPS是一个非常简单的过程,
iOS HTTP与 HTTPS
小桥流水哗啦啦,iOS Coder 哒哒哒
04-01 1109
iOS Http/Https Https 知识图总览 TCP三次握手与四次挥手 网络连接是需要三次握手才可以连接上。 建立连接(tcp三次握手):我知道你知道我知道了 断开连接(四次挥手):我确定了你确定要关闭 注:"我"指服务器, 但是每次都是由客户端发起 详细过程参考:TCP的三次握手与四次挥手理解及面试题(很全面) TCP 三次握手 TCP 四次挥手 常见面试问题 为什么要三次握手、四次挥手? 答:为了确认要连接和确认要断开连接。并简述三次握手、四次挥手流程。 为什么不能用两次握手进行连接?
iOS 开发 HTTPS请求详解
高级软件开发工程师--周玉的博客
12-01 2356
HTTPS HTTPS : Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS安全基础是SSL. SSL : Secure Sockets Layer,表示安全套接层. TLS : Transport Layer Security,是SSL的继任者,
iOS应用安全开发:网络安全与数据保护
"iOS应用安全开发的重要性以及网络安全、本地文件和数据安全、源代码安全的挑战与应对措施。" iOS应用安全开发是当前移动互联网时代不可忽视的重要议题。由于iOS应用直接运行在用户的设备上,它们面临着来自黑客的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值