App Transport Security,简短的说就是ATS,是iOS9和OS X El Capitan的一个新特性。App Transport Security 的目标是提高Apple 操作系统的安全性以及在此操作系统上运行的任何应用的安全性。
基于HTTP传输数据的网络请求都是明文。开启App Transport Security后,网络传输自动通过HTTPS传输而不是HTTP。
App Transport Security要求TLS (Transport Layer Security) 1.2或者更高。
关于App Transport Security,每个应用都属于4个大类当中的一类。
只有HTTPS
如果你的应用只基于支持HTTPS的服务器,那么你太幸运了。你的应用不需要做任何改变。但是,注意App Transport Security要求TLS 1.2而且它要求站点使用支持forward secrecy协议的密码。证书也要求是符合ATS规格的。因此慎重检查与你的应用交互的服务器是不是符合ATS的要求非常重要。
混合
你的应用与一个不符合ATS要求的服务器工作是很有可能的。在这种情况下,你需要告诉操作系统哪些站点是涉及到的然后在你的应用的 Info.plist文件中指明哪些要求没有达到。
这意味着对于每个与你应用交互的站点, 除了在你的应用的 Info.plist中声明的那些以外不强制要求App Transport Security,其它的都需要。你可以使用很多的预定义的keys值来配置例外(exceptions)。在下面的 Info.plist文件中,我们定义了3个例外。
api.insecuredomain.com
我们定义的第一个例外告诉ATS当与这个子域交互的时候撤销了必须使用HTTPS的要求。注意这个仅仅针对在例外中声明了的子域。非常重要的一点是要理解NSExceptionAllowsInsecureHTTPLoads关键字并不仅仅只是与使用HTTPS相关。这个例外指明了对于那个域名,所有的App Transport Security的要求都被撤销了。
cdn.domain.com
很可能你的应用是与一个支持HTTPS传输数据的服务器交互,但是并没有使用TLS 1.2或更高。在这种情况下,你定义一个例外,它指明应该使用的最小的TLS的版本。这比完全撤销那个域名的App Transport Security要更好更安全。
thatotherdomain.com
NSIncludesSubdomains关键字告诉 App Transport Security这个例外适用于这个特定域名的所有子域。这个例外还进一步通过扩展可接受的密码列表来定义这个域名可以使用不支持forward secrecy(NSExceptionRequiresForwardSecrecy) ?协议的密码。想了解更多关于forward secrecy的信息,我推荐你去看这个文章?Apple's technote。
撤销
如果你在创建一个网页浏览器,那么你有一个更大的麻烦。因为你不可能知道你的用户将要访问那个网页,你不可能指明这些网页是否支持ATS要求且在HTTPS上传输。在这种情况下,除了全部撤销 App Transport Security 没有其它办法。
非常重要的是你要明确的指明撤销 App Transport Security。牢记App Transport Security是默认强制执行的。在你的应用的Info.plist, 文件中,为NSAppTransportSecurity关键值添加一个字典。这个字典应该包括一个关键字,NSAllowsArbitraryLoads,以及它的值要被设置为YES。如果你撤消了App Transport Security,下面内容就是你的应用的 Info.plist 文件应该看起来像的东西:
有着例外的撤销
第四个大类是当你的应用撤消了App Transport Security,,但同时定义了一些例外。这非常有用就是当你的应用从很多的服务器上取数据,但是也要与一个你可控的API交互。在这种情况下,在应用的Info.plist文件中指定任何加载都是被允许的,但是你也指定了一个或多个例外来表明哪些是必须要求 App Transport Security的。下面是Info.plist文件应该会有的内容: