關(guān)于 iOS 10 中 ATS 的問題

原文地址：https://onevcat.com/2016/06/ios-10-ats/

PS:另外填上如何使用AFNetWorking實現(xiàn)
https：http://www.cnblogs.com/jys509/p/5001566.html

本文于 2016 年 11 月 28 日按照 Apple 最新的文檔和 Xcode 8 中的表現(xiàn)進行了部分更新怎顾。

• 附上官方公告https://forums.developer.apple.com/thread/48979#146140

• 騰訊云ATS通過檢測https://www.qcloud.com/product/ssl

*https證書購買：http://www.wosign.com/price_client.htm

• WWDC 15 提出的 ATS (App Transport Security) 是 Apple 在推進網(wǎng)絡(luò)通訊安全的一個重要方式。在 iOS 9 和 OS X 10.11 中，默認情況下非 HTTPS 的網(wǎng)絡(luò)訪問是被禁止的铸题。當然，因為這樣的推進影響面非常廣涯竟，作為緩沖握截，我們可以在 Info.plist 中添加NSAppTransportSecurity字典并且將NSAllowsArbitraryLoads設(shè)置為YES來禁用 ATS。相信大家都已經(jīng)對這個非常熟悉了慰毅，因為我自己也維護了一些網(wǎng)絡(luò)相關(guān)的框架，所以我還自己準備了一個小腳本來快速關(guān)閉 ATS庙睡。

• 不過事富，WWDC 16 中技俐，Apple 表示將繼續(xù)在 iOS 10 和 macOS 10.12 里收緊對普通 HTTP 的訪問限制。從 2017 年 1 月 1 日起统台，所有的新提交 app 默認是不允許使用NSAllowsArbitraryLoads來繞過 ATS 限制的雕擂，也就是說，我們最好保證 app 的所有網(wǎng)絡(luò)請求都是 HTTPS 加密的贱勃，否則可能會在應(yīng)用審核時遇到麻煩井赌。

• 現(xiàn)在 (2016-11-28)，這方面的相關(guān)規(guī)定和幾個事實如下：
  默認情況下你的 app 可以訪問加密足夠強 (TLSv1.2 以上贵扰，AES-128 和 SHA-2 以及 ECDHC 等) 的 HTTPS 內(nèi)容仇穗。這對所有的網(wǎng)絡(luò)請求都有效，包括NSURLSession戚绕，通過 AVFoundation 訪問的流媒體纹坐，UIWebView以及WKWebView等。

• 你依然可以添加NSAllowsArbitraryLoads為YES來全面禁用 ATS舞丛，不過如果你這么做的話耘子，需要在提交 app 時進行說明，為什么需要訪問非 HTTPS 內(nèi)容球切。一般來說谷誓，可能簡單粗暴地開啟這個選項，而又無法找到正當理由的 app 會難以通過審核吨凑。

• 相比于使用NSAllowsArbitraryLoads將全部 HTTP 內(nèi)容開放捍歪，選擇使用NSExceptionDomains來針對特定的域名，通過設(shè)定該域名下的NSExceptionAllowsInsecureHTTPLoads來開放 HTTP 應(yīng)該要相對容易過審核鸵钝〔诰剩“需要訪問的域名是第三方服務(wù)器，他們沒有進行 HTTPS 對應(yīng)”會是審核時的一個可選理由蒋伦，但是這應(yīng)該只需要針對特定域名弓摘，而非全面開放。如果訪問的是自己的服務(wù)器的話痕届，可能這個理由會無法通過韧献。

• 對于網(wǎng)頁瀏覽和視頻播放的行為，iOS 10 中新加入了NSAllowsArbitraryLoadsInWebContent和NSAllowsArbitraryLoadsForMedia鍵研叫。通過將它們設(shè)置為YES锤窑，可以讓你的 app 中的UIWebView、WKWebView或者使用AVFoundation播放的在線視頻不受 ATS 的限制嚷炉。雖然依然需要在審核時進行說明渊啰，但這也應(yīng)該是絕大多數(shù)使用了相關(guān)特性的 app 的首選。壞消息是這個鍵在 iOS 9 中并不會起作用。

總結(jié)一下就是以下兩點：

對于 API 請求绘证，基本上是必須使用 HTTPS 的隧膏，特別是如果你們自己可以管理服務(wù)器的話∪履牵可能需要后端的同學盡快升級到 HTTPS (不過話說雖然是用 Let's Encrypt 的胞枕，我一個個人博客都啟用 HTTPS 了，作為 API 的用戶服務(wù)器魏宽，還不開 HTTPS 真有點說不過去)腐泻。如果使用的是第三方的 API，而他們沒有提供 HTTPS 支持的話队询，需要在NSExceptionDomains中進行添加派桩。

如果你的 app 只支持 iOS 10，并且有用戶可以自由輸入網(wǎng)址進行瀏覽的功能蚌斩，或者是在線視頻音頻播放功能的話铆惑，只加入NSAllowsArbitraryLoadsInWebContent或/和NSAllowsArbitraryLoadsForMedia，并且將組件換成UIWebView或WKWebView凳寺，以及AVFoundation中的 player 就可以了鸭津。如果你還需要支持 iOS 9彤侍，并且需要訪問網(wǎng)頁和視頻的話肠缨，可能只能去開啟NSAllowsArbitraryLoads然后提交時進行說明，并且看 Apple 審核員的臉色決定讓不讓通過了盏阶。除了WKWebKit以外晒奕，另外一個訪問網(wǎng)頁的選擇是使用SFSafariViewController。因為其實SFSafariViewController就是一個獨立于 app 的 Safari 進程名斟，所以它完全不受 ATS 的限制脑慧。
如果你需要使用內(nèi)網(wǎng)，可以設(shè)置NSAllowsLocalNetworking砰盐，而不必擔心 SSL 連接的問題闷袒。

另外，當NSAllowsArbitraryLoads和NSAllowsArbitraryLoadsInWebContent或NSAllowsArbitraryLoadsForMedia同時存在時岩梳，根據(jù)系統(tǒng)不同囊骤，表現(xiàn)的行為也會不一樣。簡單說冀值，iOS 9 只看NSAllowsArbitraryLoads也物，而 iOS 10 會優(yōu)先看InWebContent和ForMedia的部分。在 iOS 10 中列疗，要是后兩者存在的話滑蚯，在相關(guān)部分就會忽略掉NSAllowsArbitraryLoads；如果不存在，則遵循NSAllowsArbitraryLoads的設(shè)定告材。

說起來可能有點復(fù)雜坤次，我在這里總結(jié)了一下根據(jù)NSAppTransportSecurity中設(shè)定條件不同，所對應(yīng)的系統(tǒng)版本和請求組件的行為的不同斥赋，可以作為你設(shè)置這個字典時的參考 (表中使用了NSAllowsArbitraryLoadsInWebContent作為例
子.

作為參考浙踢，這里將有效的NSAppTransportSecurity字典結(jié)構(gòu)也一并附上：

NSAppTransportSecurity : 
Dictionary {  
  NSAllowsArbitraryLoads  :Boolean
  NSAllowsArbitraryLoadsForMedia :Boolean
  NSAllowsArbitraryLoadsInWebContent :Boolean
  NSAllowsLocalNetworking :Boolean
  NSExceptionDomains : 
   Dictionary {:
 Dictionary {              
NSIncludesSubdomains : Boolean            NSExceptionAllowsInsecureHTTPLoads : Boolean            NSExceptionMinimumTLSVersion : String            NSExceptionRequiresForwardSecrecy : Boolean 
 // Default value is YES          
  NSRequiresCertificateTransparency : Boolean  
      }  
  }
}

• 不得不說，Apple 使用自己現(xiàn)在的強勢地位灿渴，在推動技術(shù)進步上的做的努力是有目共睹的洛波。不論是前幾天強制支持 IPv6，還是現(xiàn)在的
  HTTPS骚露，其實都不是很容易就能作出的決定蹬挤。而為用戶構(gòu)建一個更安全的使用環(huán)境，可能不僅是 Apple
  單方面可以做的棘幸，也是需要開發(fā)者來配合的一件事情焰扳。盡快適配更進步和安全的使用方式，會是一件雙贏的事情误续。