【发布时间】:2018-02-24 10:55:57
【问题描述】:
这是一个关于应用程序传输安全的更一般的问题/讨论。 ATS 确保 iPhone 和互联网之间的所有网络流量都安全完成(即 HTTPS)。这在理论上确实很好,除了很多网站没有 HTTPS 版本。我对这个主题所做的大部分阅读归结为:
“好的,这不是问题,因为我们的应用只需要与我们的后端对话,我们可以控制安全性”
但是,如果您的应用不与一个后端通信怎么办?如果您没有那么多控制权怎么办?
“我的应用从各种来源进行新闻聚合,这些来源可能有也可能没有 HTTPS 链接,我无法控制它们是否有”
例如,ESPN 的面向公众的网站没有 HTTPS 端点。如果您转到https://espn.com,它会将您重定向到http://espn.com
对此问题的另一个常见响应是:“好的,将 espn 添加到您的ATS Exception Domains”
更笼统 - 像 Facebook 这样使用自己的内置浏览器的应用程序如何处理人们在其时间线中发布链接可能使用也可能不使用 HTTPS 链接的事实?他们肯定不会在info.plist 中将整个互联网列入白名单
有什么想法吗?我知道这是一个相当广泛且开放式的问题,但我真的想弄清楚什么是遵守 ATS 并允许在应用中获得良好冲浪体验的最佳方式。
【问题讨论】:
标签: ios app-transport-security