如何阻止提琴手查看我的 iOS 应用程序和服务器之间的 HTTPS 数据

【问题标题】:How to stop fiddler to see HTTPS data between my iOS app and server如何阻止提琴手查看我的 iOS 应用程序和服务器之间的 HTTPS 数据
【发布时间】:2013-11-29 12:05:55
【问题描述】:

在我的 iOS 应用程序中,我在 API 中发送用户凭据,我才知道我可以使用 fiddler2 查看所有服务器和 iOS 应用程序通信。有什么方法可以阻止这种(或这类工具)通过 HTTPS 查看数据。

我读过这个 - Can someone view the data going over https using fiddler? 所以我知道提琴手是如何工作的,但不知道如何阻止它。

【问题讨论】:

    标签: ios api security https fiddler


    【解决方案1】:

    您可以使用称为“SSL Pinning”的方法。您应该将服务器证书与您的应用程序打包并检查它是否等于当前连接的服务器。如果您使用 AFNetworking,您可以使用 AFHTTPRequestOperation 的 SSLPinningMode 属性轻松完成。

    一些有用的链接: http://www.doubleencore.com/2013/03/ssl-pinning-for-increased-app-security/ http://nsscreencast.com/episodes/73-ssl-pinning

    【讨论】:

    • 通常,这称为“证书固定”,您应该知道越狱手机的用户可以绕过固定。在企业环境中使用时,固定还会破坏您的应用程序,并降低应用程序的证书敏捷性(例如,如果您以后需要更改 CA)。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-05-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-09-30
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode