google在android p為了安全起見,已經(jīng)明確規(guī)定禁止http協(xié)議額,但是之前很多接口都是http協(xié)議娇未,我們一般是這樣解決的:
在res目錄下創(chuàng)建xml目錄,然后隨便創(chuàng)建一個(gè).xml文件,里面內(nèi)容如下:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="true" />
</network-security-config>
然后在AndroidManifest.xml文件下加上:
android:networkSecurityConfig="@xml/文件名"
<application
android:testOnly="false"
android:name=".base.BaseApplication"
android:allowBackup="true"
android:configChanges="orientation|keyboardHidden"
android:networkSecurityConfig="@xml/文件名"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:supportsRtl="true"
android:theme="@style/AppTheme"
tools:ignore="AllowBackup,GoogleAppIndexingWarning,UnusedAttribute"
tools:replace="android:icon,android:label,android:theme,android:allowBackup,android:name">
networkSecurityConfig是什么呢
從Nougat(Android 7)一個(gè)名為“Network Security Configuration”的新安全功能也隨之而來灌诅。如果應(yīng)用程序的SDK高于或等于24速址,則只有系統(tǒng)證書才會(huì)被信任。
網(wǎng)絡(luò)安全性配置特性讓應(yīng)用可以在一個(gè)安全的聲明性配置文件中自定義其網(wǎng)絡(luò)安全設(shè)置材蛛,而無需修改應(yīng)用代碼。可以針對(duì)特定域和特定應(yīng)用配置這些設(shè)置刁赖。此特性的主要功能如下所示:
- 自定義信任錨:針對(duì)應(yīng)用的安全連接自定義哪些證書頒發(fā)機(jī)構(gòu) (CA) 值得信任。例如长搀,信任特定的自簽署證書或限制應(yīng)用信任的公共 CA 集宇弛。
- 僅調(diào)試重寫:在應(yīng)用中以安全方式調(diào)試安全連接,而不會(huì)增加已安裝用戶的風(fēng)險(xiǎn)源请。
- 明文通信選擇退出:防止應(yīng)用意外使用明文通信枪芒。
- 證書固定:將應(yīng)用的安全連接限制為特定的證書。
下面分別來看看具體的用法
自定義可信 CA
應(yīng)用可能需要信任自定義的 CA 集谁尸,而不是平臺(tái)默認(rèn)值舅踪。出現(xiàn)此情況的最常見原因包括:
- 連接到具有自定義證書頒發(fā)機(jī)構(gòu)的主機(jī),如自簽署或在公司內(nèi)部簽發(fā)的 CA良蛮。
- 將 CA 集僅限于您信任的 CA抽碌,而不是每個(gè)預(yù)裝 CA。
- 信任系統(tǒng)中未包含的附加 CA背镇。
默認(rèn)情況下咬展,來自所有應(yīng)用的安全連接(使用 TLS 和 HTTPS 之類的協(xié)議)均信任預(yù)裝的系統(tǒng) CA,而面向 Android 6.0(API 級(jí)別 23)及更低版本的應(yīng)用默認(rèn)情況下還會(huì)信任用戶添加的 CA 存儲(chǔ)瞒斩。應(yīng)用可以使用 base-config(應(yīng)用范圍的自定義)或 domain-config(按域自定義)自定義自己的連接破婆。
配置自定義 CA
假設(shè)您要連接到使用自簽署 SSL 證書的主機(jī),或者連接到其 SSL 證書是由您信任的非公共 CA(如公司的內(nèi)部 CA)簽發(fā)的主機(jī)胸囱。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.com</domain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
</trust-anchors>
</domain-config>
</network-security-config>
以 PEM 或 DER 格式將自簽署或非公共 CA 證書添加到 res/raw/my_ca祷舀。
限制可信 CA 集
如果應(yīng)用不想信任系統(tǒng)信任的所有 CA,則可以自行指定烹笔,縮減要信任的 CA 集裳扯。這樣可以防止應(yīng)用信任任何其他 CA 簽發(fā)的欺詐性證書。
限制可信 CA 集的配置與針對(duì)特定域信任自定義 CA 相似谤职,不同的是饰豺,前者要在資源中提供多個(gè) CA。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">secure.example.com</domain>
<domain includeSubdomains="true">cdn.example.com</domain>
<trust-anchors>
<certificates src="@raw/trusted_roots"/>
</trust-anchors>
</domain-config>
</network-security-config>
以 PEM 或 DER 格式將可信 CA 添加到 res/raw/trusted_roots允蜈。請(qǐng)注意冤吨,如果使用 PEM 格式蒿柳,文件必須僅包含 PEM 數(shù)據(jù),且沒有額外的文本漩蟆。您還可以提供多個(gè) <certificates> 元素垒探,而不是只提供一個(gè)元素。
信任附加 CA
應(yīng)用可能需要信任系統(tǒng)不信任的附加 CA怠李,出現(xiàn)此情況的原因可能是系統(tǒng)還未包含此 CA圾叼,或 CA 不符合添加到 Android 系統(tǒng)中的要求。應(yīng)用可以通過為一個(gè)配置指定多個(gè)證書源來實(shí)現(xiàn)此目的捺癞。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config>
<trust-anchors>
<certificates src="@raw/extracas"/>
<certificates src="system"/>
</trust-anchors>
</base-config>
</network-security-config>
配置用于調(diào)試的 CA
調(diào)試通過 HTTPS 連接的應(yīng)用時(shí)夷蚊,您可能需要連接到?jīng)]有為生產(chǎn)服務(wù)器提供 SSL 證書的本地開發(fā)服務(wù)器。為了支持此操作翘簇,而又不對(duì)應(yīng)用的代碼進(jìn)行任何修改撬码,您可以通過使用 debug-overrides 指定僅在 android:debuggable 為 true 時(shí)才可信的僅調(diào)試 CA。通常版保,IDE 和構(gòu)建工具會(huì)自動(dòng)為非發(fā)布版本設(shè)置此標(biāo)記呜笑。
這比一般的條件代碼更安全,因?yàn)槌鲇诎踩紤]彻犁,應(yīng)用存儲(chǔ)不接受被標(biāo)記為可調(diào)試的應(yīng)用叫胁。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<debug-overrides>
<trust-anchors>
<certificates src="@raw/debug_cas"/>
</trust-anchors>
</debug-overrides>
</network-security-config>
選擇退出明文通信
旨在連接到僅使用安全連接的目的地的應(yīng)用可以選擇不再對(duì)這些目的地提供明文(使用解密的 HTTP 協(xié)議而非 HTTPS)支持。此選項(xiàng)有助于防止應(yīng)用因外部源(如后端服務(wù)器)提供的網(wǎng)址發(fā)生變化而意外回歸汞幢。請(qǐng)參閱 NetworkSecurityPolicy.isCleartextTrafficPermitted()驼鹅,了解更多詳情。
例如森篷,應(yīng)用可能需要確保與 secure.example.com 的所有連接始終通過 HTTPS 完成输钩,以防止來自惡意網(wǎng)絡(luò)的敏感流量。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config cleartextTrafficPermitted="false">
<domain includeSubdomains="true">secure.example.com</domain>
</domain-config>
</network-security-config>
固定證書
一般情況下仲智,應(yīng)用信任所有預(yù)裝 CA买乃。如果有預(yù)裝 CA 簽發(fā)欺詐性證書,則應(yīng)用將面臨被中間人攻擊的風(fēng)險(xiǎn)钓辆。有些應(yīng)用通過限制信任的 CA 集或通過證書固定來選擇限制其接受的證書集剪验。
通過按公鑰的哈希值(X.509 證書的 SubjectPublicKeyInfo)提供證書集完成證書固定。然后前联,只有至少包含一個(gè)已固定的公鑰時(shí)功戚,證書鏈才有效。
請(qǐng)注意似嗤,使用證書固定時(shí)啸臀,您應(yīng)始終包含一個(gè)備份密鑰,這樣烁落,當(dāng)您被強(qiáng)制切換到新密鑰或更改 CA 時(shí)(固定到某個(gè) CA 證書或該 CA 的中間證書時(shí))乘粒,您應(yīng)用的連接性不會(huì)受到影響席揽。否則,您必須推送應(yīng)用的更新以恢復(fù)連接性谓厘。
此外,可以設(shè)置固定的到期時(shí)間寸谜,在該時(shí)間之后不執(zhí)行證書固定竟稳。這有助于防止尚未更新的應(yīng)用出現(xiàn)連接性問題。不過熊痴,設(shè)置固定的到期時(shí)間可能會(huì)繞過證書固定他爸。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.com</domain>
<pin-set expiration="2018-01-01">
<pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
<!-- backup pin -->
<pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin>
</pin-set>
</domain-config>
</network-security-config>
配置繼承行為
將繼承未在特定配置中設(shè)置的值。此行為允許進(jìn)行更復(fù)雜的配置果善,同時(shí)又能保證配置文件可讀诊笤。
如果未在特定條目中設(shè)置值,將使用來自更通用條目中的值巾陕。例如讨跟,未在 domain-config 中設(shè)置的值將從父級(jí) domain-config(如果已嵌套)或者 base-config(如果未嵌套)中獲取。未在 base-config 中設(shè)置的值將使用平臺(tái)默認(rèn)值鄙煤。
例如晾匠,到 example.com 的子域的所有連接都必須使用自定義 CA 集。此外梯刚,允許使用這些域的明文通信凉馆,連接到 secure.example.com 時(shí)除外。通過在 example.com 的配置中嵌套 secure.example.com 的配置亡资,不需要重復(fù) trust-anchors澜共。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.com</domain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
</trust-anchors>
<domain-config cleartextTrafficPermitted="false">
<domain includeSubdomains="true">secure.example.com</domain>
</domain-config>
</domain-config>
</network-security-config>
配置文件格式
網(wǎng)絡(luò)安全性配置特性使用 XML 文件格式。文件的整體結(jié)構(gòu)如以下代碼示例所示:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config>
<trust-anchors>
<certificates src="..."/> ...
</trust-anchors>
</base-config>
<domain-config>
<domain>android.com</domain> ...
<trust-anchors>
<certificates src="..."/> ...
</trust-anchors>
<pin-set>
<pin digest="...">...</pin> ...
</pin-set>
</domain-config> ...
<debug-overrides>
<trust-anchors>
<certificates src="..."/> ...
</trust-anchors>
</debug-overrides>
</network-security-config>
以下部分將介紹語法與文件格式的其他詳細(xì)信息锥腻。
<network-security-config>
可以包含:
- 0 或 1 個(gè) <base-config>
- 任意數(shù)量的 <domain-config>
- 0 或 1 個(gè) <debug-overrides>
<base-config>
語法:
<base-config cleartextTrafficPermitted=["true" | "false"]> ...</base-config>
可以包含:
<trust-anchors>
說明:
目的地不在 domain-config 涵蓋范圍內(nèi)的所有連接所使用的默認(rèn)配置嗦董。未設(shè)置的任何值均使用平臺(tái)默認(rèn)值。面向 Android 7.0(API 級(jí)別 24)及更高版本應(yīng)用的默認(rèn)配置如下所示:
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
面向 Android 6.0(API 級(jí)別 23)及更低版本應(yīng)用的默認(rèn)配置如下所示:
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
<certificates src="user" />
</trust-anchors>
</base-config>
<domain-config>
語法:
<domain-config cleartextTrafficPermitted=["true" | "false"]> ...</domain-config>
可以包含:
- 1 個(gè)或多個(gè) <domain>
- 0 或 1 個(gè) <trust-anchors>
- 0 或 1 個(gè) <pin-set>
任意數(shù)量的已嵌套<domain-config>
說明
用于按照 domain 元素的定義連接到特定目的地的配置旷太。請(qǐng)注意展懈,如果有多個(gè) domain-config 元素涵蓋某個(gè)目的地,將使用匹配域規(guī)則最具體(最長(zhǎng))的配置供璧。
<domain>
語法:
<domain includeSubdomains=["true" | "false"]>example.com</domain>
屬性:
includeSubdomains
如果為 "true"存崖,此域規(guī)則將與域及所有子域(包括子域的子域)匹配。否則睡毒,該規(guī)則僅適用于精確匹配項(xiàng)来惧。
說明:
<debug-overrides>
語法:
<debug-overrides> ...</debug-overrides>
可以包含:
- 0 或 1 個(gè) <trust-anchors>
說明:
在 android:debuggable 為 "true" 時(shí)將應(yīng)用的重寫,IDE 和構(gòu)建工具生成的非發(fā)布版本通常屬于此情況演顾。在 debug-overrides 中指定的信任錨將添加到所有其他配置供搀,并且當(dāng)服務(wù)器的證書鏈?zhǔn)褂闷渲幸粋€(gè)僅調(diào)試信任錨時(shí)隅居,將不執(zhí)行證書固定。如果 android:debuggable 為 "false"葛虐,將完全忽略此部分胎源。
<trust-anchors>
語法:
<trust-anchors>...</trust-anchors>
可以包含:
- 任意數(shù)量的 <certificates>
說明:
用于安全連接的信任錨集。
<certificates>
語法:
<certificates src=["system" | "user" | "raw resource"] overridePins=["true" | "false"] />
說明:
用于 trust-anchors 元素的 X.509 證書集屿脐。
屬性:
指向包含 X.509 證書的文件的原始資源 ID涕蚤。證書必須以 DER 或 PEM 格式編碼。如果為 PEM 證書的诵,則文件不得包含額外的非 PEM 數(shù)據(jù)万栅,例如注釋。
用于預(yù)裝系統(tǒng) CA 證書的 "system"
用于用戶添加的 CA 證書的 "user"
src
CA 證書的來源西疤。每個(gè)證書可為下列狀態(tài)之一:
overridePins
指定此來源的 CA 是否繞過證書固定烦粒。如果為 "true",則不對(duì)此來源的 CA 簽署的證書鏈執(zhí)行證書固定代赁。這對(duì)于調(diào)試 CA 或測(cè)試對(duì)應(yīng)用的安全流量進(jìn)行中間人攻擊 (MiTM) 非常有用扰她。默認(rèn)值為 "false",除非在 debug-overrides 元素中另外指定(在這種情況下芭碍,默認(rèn)值為 "true")义黎。
<pin-set>
語法:
<pin-set expiration="date">...</pin-set>
可以包含:
- 任意數(shù)量的 <pin>
說明:
一組公鑰固定。對(duì)于要信任的安全連接豁跑,信任鏈中必須有一個(gè)公鑰位于固定集中廉涕。有關(guān)固定格式,請(qǐng)參閱 <pin>艇拍。
屬性:
expiration
采用 yyyy-MM-dd 格式的日期狐蜕,固定在該日期過期,因而將停用固定卸夕。如果未設(shè)置該屬性层释,則固定不會(huì)過期。設(shè)置到期時(shí)間有助于防止未更新到其固定集(例如快集,在用戶停用應(yīng)用更新時(shí))的應(yīng)用出現(xiàn)連接問題贡羔。
<pin>
語法:
<pin digest=["SHA-256"]>base64 encoded digest of X.509 SubjectPublicKeyInfo (SPKI)</pin>
屬性:
digest
用于生成固定的摘要算法。目前僅支持 "SHA-256"个初。
