iOS APP 如何改用更安全的HTTPS

最新推荐文章于 2023-06-26 19:03:37 发布
最新推荐文章于 2023-06-26 19:03:37 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: iOS 文章标签: ios ssl ios开发 安全
本文介绍HTTPS的概念及其相较于HTTP的优势,并详细讲解如何在iOS平台上利用NSURLConnection及AFNetworking等工具实现HTTPS的支持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是SSL/TLS?跟HTTP和HTTPS有什么关系

打个比方:如果原来的 HTTP 是塑料水管,容易被戳破;那么如今新设计的 HTTPS 就像是在原有的塑料水管之外,再包一层金属水管。一来,原有的塑料水管照样运行;二来,用金属加固了之后,不容易被戳破。

目前,应用最广泛的是TLS 1.0,接下来是SSL 3.0(注:TSL是SSL的新别名,SSL 3.0版本之后的迭代版本被重新命名为TLS 1.0)。但是,主流浏览器都已经实现了TLS 1.2的支持。

Apple让你的HTTP采用SSL/TLS协议,就是让你从HTTP转到HTTPS

我怎么让这个图片居中,该死的

改用HTTPS有什么好处

不使用SSL/TLS的HTTP通信,就是不加密的通信!所有信息明文传播,带来了三大风险:

  • 窃听风险(eavesdropping):第三方可以获知通信内容。
  • 篡改风险(tampering):第三方可以修改通信内容。
  • 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的,希望达到:

  • 所有信息都是加密传播,第三方无法窃听。
  • 具有校验机制,一旦被篡改,通信双方会立刻发现。
  • 配备身份证书,防止身份被冒充。

如何在iOS上实现对HTTPS的支持

首先,需要明确你使用HTTP/HTTPS的用途,因为OSX和iOS平台提供了多种API,来支持不同的用途,官方文档《Making HTTP and HTTPS Requests》 有详细的说明,而文档《HTTPS Server Trust Evaluation》则详细讲解了HTTPS验证相关知识,这里就不多说了。本文主要讲解我们最常用的NSURLConnection支持HTTPS的实现(NSURLSession的实现方法类似,只是要求授权证明的回调不一样而已),以及怎么样使用AFNetworking这个非常流行的第三方库来支持HTTPS。本文假设你对HTTP以及NSURLConnection的接口有了足够的了解。

验证证书API

相关的Api在Security Framework中,验证流程如下:

  1. 第一步,先获取需要验证的信任对象(Trust Object)。这个Trust Object在不同的应用场景下获取的方式都不一样,对于NSURLConnection来说,是从delegate方法-connection:willSendRequestForAuthenticationChallenge:回调回来的参数challenge中获取([challenge.protectionSpace serverTrust])。

  2. 使用系统默认验证方式验证Trust Object。SecTrustEvaluate会根据Trust Object的验证策略,一级一级往上,验证证书链上每一级数字签名的有效性(上一部分有讲解),从而评估证书的有效性。

  3. 如第二步验证通过了,一般的安全要求下,就可以直接验证通过,进入到下一步:使用Trust Object生成一份凭证([NSURLCredential credentialForTrust:serverTrust]),传入challenge的sender中([challenge.sender useCredential:cred forAuthenticationChallenge:challenge])处理,建立连接。

  4. 假如有更强的安全要求,可以继续对Trust Object进行更严格的验证。常用的方式是在本地导入证书,验证Trust Object与导入的证书是否匹配。更多的方法可以查看Enforcing Stricter Server Trust Evaluation,这一部分在讲解AFNetworking源码中会讲解到。

  5. 假如验证失败,取消此次Challenge-Response Authentication验证流程,拒绝连接请求。

ps: 假如是自建证书的,则会跳过第二步,使用第三部进行验证,因为自建证书的根CA的数字签名未在操作系统的信任列表中。

使用NSURLConnection支持HTTPS的实现

// Now start the connection
NSURL * httpsURL = [NSURL URLWithString:@"https://www.google.com"];

self.connection = [NSURLConnection connectionWithRequest:[NSURLRequest requestWithURL:httpsURL] delegate:self];


//回调
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {

    //1)获取trust object
    SecTrustRef trust = challenge.protectionSpace.serverTrust;

    SecTrustResultType result;


    //2)SecTrustEvaluate对trust进行验证
    OSStatus status = SecTrustEvaluate(trust, &result);

    if (status == errSecSuccess &&

        (result == kSecTrustResultProceed || result == kSecTrustResultUnspecified)) {

        //3)验证成功,生成NSURLCredential凭证cred,告知challenge的sender使用这个凭证来继续连接
        NSURLCredential *cred = [NSURLCredential credentialForTrust:trust];

        [challenge.sender useCredential:cred forAuthenticationChallenge:challenge];

    } else {

        //5)验证失败,取消这次验证流程
        [challenge.sender cancelAuthenticationChallenge:challenge];
  }
}

上面是代码是通过系统默认验证流程来验证证书的。假如我们是自建证书的呢?这样Trust Object里面服务器的证书因为不是可信任的CA签发的,所以直接使用SecTrustEvaluate进行验证是不会成功。又或者,即使服务器返回的证书是信任CA签发的,又如何确定这证书就是我们想要的特定证书?这就需要先在本地导入证书,设置成需要验证的Anchor Certificate(就是根证书),再调用SecTrustEvaluate来验证。代码如下

//先导入证书
NSString * cerPath = ...; //证书的路径

NSData * cerData = [NSData dataWithContentsOfFile:cerPath];

SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)(cerData));

self.trustedCertificates = @[CFBridgingRelease(certificate)];

//回调
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {

    //1)获取trust object
    SecTrustRef trust = challenge.protectionSpace.serverTrust;

    SecTrustResultType result;

    //注意:这里将之前导入的证书设置成下面验证的Trust Object的anchor certificate
    SecTrustSetAnchorCertificates(trust, (__bridge CFArrayRef)self.trustedCertificates);

    //2)SecTrustEvaluate会查找前面SecTrustSetAnchorCertificates设置的证书或者系统默认提供的证书,对trust进行验证
    OSStatus status = SecTrustEvaluate(trust, &result);

    if (status == errSecSuccess &&

        (result == kSecTrustResultProceed ||

        result == kSecTrustResultUnspecified)) {

        //3)验证成功,生成NSURLCredential凭证cred,告知challenge的sender使用这个凭证来继续连接
        NSURLCredential *cred = [NSURLCredential credentialForTrust:trust];

        [challenge.sender useCredential:cred forAuthenticationChallenge:challenge];

    } else {

        //5)验证失败,取消这次验证流程
        [challenge.sender cancelAuthenticationChallenge:challenge];
  }
}

建议采用本地导入证书的方式验证证书,来保证足够的安全性。更多的验证方法,请查看官方文档《HTTPS Server Trust Evaluation》

使用AFNetworking来支持HTTPS

NSURL * url = [NSURL URLWithString:@"https://www.google.com"];

AFHTTPRequestOperationManager * requestOperationManager = [[AFHTTPRequestOperationManager alloc] initWithBaseURL:url];

dispatch_queue_t requestQueue = dispatch_create_serial_queue_for_name("kRequestCompletionQueue");

requestOperationManager.completionQueue = requestQueue;

AFSecurityPolicy * securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

//allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
//如果是需要验证自建证书,需要设置为YES

securityPolicy.allowInvalidCertificates = YES;

//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO
//主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。

securityPolicy.validatesDomainName = NO;

//validatesCertificateChain 是否验证整个证书链,默认为YES
//设置为YES,会将服务器返回的Trust Object上的证书链与本地导入的证书进行对比,这就意味着,假如你的证书链是这样的:
//GeoTrust Global CA 
//    Google Internet Authority G2
//        *.google.com

//那么,除了导入*.google.com之外,还需要导入证书链上所有的CA证书(GeoTrust Global CA, Google Internet Authority G2);
//如是自建证书的时候,可以设置为YES,增强安全性;假如是信任的CA所签发的证书,则建议关闭该验证;

securityPolicy.validatesCertificateChain = NO;

requestOperationManager.securityPolicy = securityPolicy;

这就是AFNetworking的支持HTTPS的主要配置说明,AFHTTPSessionManager与之基本一致。

关于自建证书的HTTPS的使用这里有更详细的讲解,and这里是自建证书的创建过程。

iOS小技能:UIWebView 被拒的解决方案(用安全的WKWebView替代UIWebView)
专注于计算机研发知识和资讯分享
12-08 2485
如果真的要拦截来自 WKWebView 中的请求,还是需要实现 WKWebView 对应的 WKNavigationDelegate,并在代理方法中获取请求。处理afn的接口问题,老版本的post get formdata的请求形式在4.0都有了调整,因此需要工程中的相应的方法。WKScriptMessageHandler协议必须实现的函数,是APP与js交互,提供从网页中收消息的回调方法。2、移除/升级含UIWebView的第三方SDK(例: AFNetworking)
iOS开发iOS9.0适配之http修https、Bitcode、Scheme白名单等问题
Dongxk的博客
12-06 3914
iOS9.0适配 一、网络适配由HttpHttps: 1.问题:iOS9.0SDK在编译的时候,默认所有从NSURLConnection、CFURL和NSURLSession发出的http请求,都https请求。由于AFNetworking版本底层是用了NSURLConnection,所以使用AFNetworking的app都将受到影响。 2.解决方案: (1).服务器升级: 方
App采用Https的解决方案
qq_31755257的博客
03-13 7777
在各大领域对Https的大力推进,苹果公司对app上架审核要求采用Https的规定的契机下,App需启用Https安全链接模式。        我方提供了两个主流解决方案。分别是自签名SSL证书和第三方信任机构颁发SSL证书。   方案一:自签名SSL证书        自签名SSL证书方案操作相对很复杂,需要配置服务端源码和大幅度修app端源码。同时在PC网站端会有红色的非认证机构颁发
App适配https请求
xls_human的博客
12-29 2809
iOS进行https请求时,比http请求多了一项ssl加密功能,在数据传输层对数据进行加密传输,保证数据的安全ssl加密需要证书验证;证书是ca机构颁发的话,不需要多余的代码,请求以前http的时候怎么写现在还怎么写,只是把请求url的httphttps;但是如果站点的证书是自签证书(如通过java keytool自生成),ios默认是验证不通过的,请求会失败,就需要在http请求做对
关于IOSHTTPS协议(过滤信任检测)
我心永恒的专栏
04-14 717
IOS 开发中请求我们一般都选用的是HTTP协议,很少用到HTTPS协议,但是有时候涉及到安全方面的时候,我们就要用到HTTPS协议了,(iOS 终端请求服务端数据时,为了保证数据安全,我们一般会使用https协议加密)。 我封装了一个类,只要大家导入了这个类便迎刃而解了: 类的.h #import @interface BrowserController :
HTTPS 证书处理 objective-c实现
zj510的专栏
07-02 4544
前一篇文章用c#处理了证书,这次就使用oc来试一下,其实基本原理累似,一般都是自己覆盖几个函数,然后自己处理证书相关的东西。 自己创建一个类,如: @interface MyURLConnection : NSObject - (void) sendPostRequest: (NSURL*)url postData: (NSData*)postData; @end 我比较喜欢把一些不需
HTTPS请求处理
lyz0925的博客
09-30 252
HTTPS请求的时候: [1]证书是受信任的,什么都不用做 [2]证书是不受信任的,是自签名的   (1)修配置文件,禁用ATS特性   (2)信任并安装数字证书 NSURLSession的示例代码如下: #import "ViewController.h" @interface ViewController ()<NSURLSessionDataDelegate...
iOS 发布App Store上架IPV6遭拒问题
pinapp666的博客
04-15 359
之前应用维护一下,被拒了,说是什么得支持IPV6,好吧。。。果然是苹果打个哈欠,iOS行业内就得起一次风暴呀。自从5月初Apple明文规定所有开发者在6月1号以后提交新版本需要支持IPV6-Only的网络,大家便开始热火朝天的研究如何支持IPV6,以及应用中哪些模块目前不支持IPV6。一、IPV6-Only支持是啥?首先IPV6,是对IPV4地址空间的扩充。目前当我们用iOS设备连接上Wifi、4...
iOS审核被拒常见问题及解决方案
humiaor的博客
04-10 4万+
Guideline 2.1 - Information Needed We have started the review of your app, but we are not able to continue because we need additional information about your app.Next Steps To help us proceed with th...
Appium】测试iOS模拟器的环境配置(新于2023年11月)
jes5a的博客
06-26 1105
从安装到框架服务器与测试机成功会话
App内访问网络请求要采用 HTTPS 协议
乐事派的专栏
04-24 513
App内访问网络请求要采用 HTTPS 协议 解决办法: 1、在Info.plist中添加 NSAppTransportSecurity 类型 Dictionary ; 2、在 NSAppTransportSecurity 下添加 NSAllowsArbitraryLoads 类型Boolean ,值设为 YES;
Android9.0 http网络请求失败问题分析与解决方案
freak_csh的博客
01-22 1万+
最近做的项目,在8.0版本以下都是可以正常使用,突然接收到反馈说软件在9.0无法使用,连登陆都无法登陆。而刚好我的手机也刚升级到9.0系统,就进行了测试,发现问题和查找问题,得到以下错误原因和解决方案: 1、用Retrofit请求网络报这个错 CLEARTEXT communication to host not permitted by network 由于 Android P 限制了明文流量...
Android高版本联网失败报错:Cleartext HTTP traffic to xxx not permitted解决方法
热门推荐
柚子君的小窝
09-27 13万+
前言:为保证用户数据和设备的安全,Google针对下一代 Android 系统(Android P) 的应用程序,将要求默认使用加密连接,这意味着 Android P 将禁止 App 使用所有未加密的连接,因此运行 Android P 系统的安卓设备无论是接收或者发送流量,未来都不能明码传输,需要使用下一代(Transport Layer Security)传输层安全协议,而 Android No...
Android 9.0/P http 网络请求的问题
weixin_34221773的博客
11-07 433
Google表示,为保证用户数据和设备的安全,针对下一代 Android 系统(Android P) 的应用程序,将要求默认使用加密连接,这意味着 Android P 将禁止 App 使用所有未加密的连接,因此运行 Android P 系统的安卓设备无论是接收或者发送流量,未来都不能明码传输,需要使用下一代(Transport Layer Security)传输层安全协议,而 Android No...
AppHTTPS设置
YoungForever
01-20 1万+
为了安全方面的考虑,项目想改用HTTPS进行数据传输.目前项目所用的网络请求是AFN2.6版本的,默认不支持HTTPS网址进行数据请求,错误代码:2016-01-20 08:49:00.780 TestHttps[1494:30088] CFNetwork SSLHandshake failed (-9824) 2016-01-20 08:49:00.781 TestHttps[1494:30088
android 使用https请求
JerryWu145的专栏
11-07 1万+
今年年初就已经吵吵着要把大部分的服务端由http转成https了,但是由于很多公司还是比较懒得,而且有的公司可能不想再多掏一些钱去对自己的网址加入CA认证,所以这件事就一直拖下来了,但是随着用户数据越来越多暴露在一些不法分子眼前,所以信息安全越来越被用户重视,一些金融、贷款公司已经开始使用这种技术了,今天就来讲解一下android上面的通过https对服务器进行请求。 首先先来解答一下疑惑,我们
一桩Android9.0引起的血案
u012556114的博客
03-15 1879
1. 最近接手一个老项目,首页两个Fragment和两个Activity写的,网络请求是xutils,webview里面的请求还是HttpClient,一来就进行了各种适配和版本兼容,代码惨不忍睹.Android6.0以上系统的相机、定位、打电话等权限都需要动态请求,如果不主动请求适配的话,在7.0或以上版本会直接崩溃。拍照和读写文件时,需适配FileProvider,7.0及以上的手机系统相机U...
h5嵌入app兼容各个手机样式
最新发布
04-08
<think>嗯,用户想解决H5页面嵌入APP时在不同手机上的样式兼容性问题。首先,我需要回忆一下相关的适配方案。根据提供的引用内容,有几个关键点:比如使用rem适配、处理安全区域、fixed定位的问题,还有不同设备的像素密度问题。 首先,rem适配应该是个基础。因为不同设备的屏幕尺寸和分辨率差异大,用rem可以相对根元素字体大小来调整布局。引用[1]提到H5项目用rem适配,通过设置根元素的font-size,然后其他单位用rem,这样可以根据屏幕宽度动态调整。不过可能需要结合viewport设置,比如meta标签里的viewport设置成device-width,这样能好地响应不同设备。 然后是安全区域的问题,特别是iOS的刘海屏和底部横条。引用[4]里提到用constant和env来处理safe-area-inset,这应该是在CSS中添加内边距,避免内容被遮挡。比如在底部fixed的元素上加padding-bottom,使用constant和env函数来获取安全区域的距离。不过要注意兼容性,可能需要同时写两个height属性,一个用constant,一个用env,因为有些旧版本可能不支持env。 接下来是fixed和absolute定位的问题。不同手机对fixed的支持可能不一致,尤其是在键盘弹出时,元素的位置可能会错乱。引用[4]建议对fixed元素单独处理,增加内边距。可能需要用CSS的calc函数动态计算高度,结合安全区域的变量。另外,可能需要用JavaScript监听窗口变化,动态调整布局,比如在键盘弹出时重新计算元素位置。 还有像素密度的问题,比如Android的dp单位和px的转换。引用[1]里提到dp和px的转换公式,但H5中可能关注设备像素比(dpr)。使用viewport的initial-scale来控制缩放,或者用媒体查询根据不同的dpr来调整样式。比如,高dpr的设备可能需要细的边框,用transform: scale(0.5)来实现1物理像素的线条。 另外,不同厂商的ROM可能会有不同的默认样式,比如字体大小被调整。这时候需要重置字体,防止用户修系统字体影响布局。可以用CSS的-webkit-text-size-adjust属性设为none,或者用JavaScript检测字体大小变化,然后强制重置。 测试方面,引用[3]提供了一个网址,可以用来查看客户端信息,帮助排查问题。可能需要用真机测试,或者使用浏览器的开发者工具模拟不同设备。此外,使用Flexbox和Grid布局可以提高兼容性,因为它们能好地适应不同屏幕尺寸。 最后,可能需要处理一些特定问题,比如iOS上输入框的样式,或者键盘弹出导致的视口变化。这时候,使用特定的meta标签,或者监听resize事件来调整布局可能会有帮助。比如,在iOS中,键盘弹出可能会变视口高度,导致fixed元素位置错位,这时候可能需要改用absolute定位,或者动态调整元素的位置。 总结下来,解决方案应该包括rem适配、安全区域处理、定位元素调整、像素密度适配、字体重置、弹性布局和充分测试。同时,针对不同平台(iOS和Android)可能需要特定的处理,比如iOS安全区域和Android的status bar高度差异。</think>### H5页面嵌入APP的跨设备样式适配方案 根据引用资料和行业实践,H5页面在APP内出现样式兼容性问题主要由以下原因引起: 1. 不同设备像素密度差异(Android的dp与px转换问题)[^1] 2. iOS安全区域适配(刘海屏、Home Indicator等特殊区域)[^4] 3. 不同ROM对WebView的默认样式处理差异 4. 绝对定位元素在WebView中的异常表现[^4] #### 一、基础适配方案 1. **视口设置** ```html <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no"> ``` 2. **REM适配** ```javascript // 设置根字体大小为屏幕宽度的1/10 document.documentElement.style.fontSize = document.documentElement.clientWidth / 10 + 'px'; ``` 3. **安全区域适配** ```css /* 底部安全区域适配 */ .element { padding-bottom: constant(safe-area-inset-bottom); /* iOS < 11.2 */ padding-bottom: env(safe-area-inset-bottom); /* iOS >= 11.2 */ height: calc(60px + constant(safe-area-inset-bottom)); height: calc(60px + env(safe-area-inset-bottom)); } ``` #### 二、特殊问题解决方案 1. **固定定位异常** ```css .fixed-box { position: fixed; bottom: 0; /* 安卓需要增加状态栏高度适配 */ bottom: calc(0px + constant(safe-area-inset-bottom)); bottom: calc(0px + env(safe-area-inset-bottom)); } ``` 2. **1px边框问题** ```css .border-box { position: relative; } .border-box::after { content: ""; position: absolute; left: 0; bottom: 0; width: 100%; height: 1px; background: #ddd; transform: scaleY(0.5); } ``` 3. **字体大小重置** ```css body { -webkit-text-size-adjust: 100% !important; text-size-adjust: 100% !important; } ``` #### 三、调试技巧 1. 使用`https://www.bejson.com/httputil/clientinfo/`检测客户端信息[^3] 2. 安卓WebView开启调试模式: ```java WebView.setWebContentsDebuggingEnabled(true); ``` #### 四、厂商差异处理 | 设备类型 | 重点关注项 | 解决方案 | |---------|-----------|---------| | iOS | 安全区域、弹性滚动 | 使用safe-area-inset变量 | | 小米 | 字体缩放 | CSS强制设置font-size | | 华为 | 状态栏高度 | JS动态计算高度 | | OPPO | 圆角屏幕 | padding增加安全边距 |
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值