【问题标题】:HSTS or ATS equivalent for Android?适用于 Android 的 HSTS 或 ATS 等效项?
【发布时间】:2016-04-13 17:48:50
【问题描述】:

我的 iOS 应用程序使用 ATS 保护以加强安全性。 网站正在使用 HSTS。 Android 的等效技术是什么?

谢谢。 :-)

【问题讨论】:

    标签: java android security hsts


    【解决方案1】:

    Android 在 API 级别 23 中引入了类似的功能。您可以在 network_security_config.xml 文件中执行此操作。这是来自Android documentation 的示例:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config cleartextTrafficPermitted="false">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </network-security-config>
    

    确保按照文档开头指定的方式在应用程序清单中包含 network_security_config.xml 文件,否则该文件将被忽略。

    有没有办法指定所有域的所有流量都应该加密?

    是的。更新base-config 元素并将cleartextTrafficPermitted 属性设置为false

    <network-security-config>
        <base-config cleartextTrafficPermitted="false">
            <trust-anchors>
                <certificates src="system" />
            </trust-anchors>
        </base-config>
    </network-security-config>
    

    【讨论】:

    • 值得注意的是,我没有立即看到在配置/应用程序清单中强制实施 TLS 1.2 的方法。
    • 这仅将 TLS 指定到 secure.example.com(及其子域),对吗?有没有办法指定 allall 域的流量应该被加密?
    • @FranklinYu 抱歉,我花了……几个月……才做出回应,但是是的,请参阅更新后的答案。
    猜你喜欢
    • 2011-09-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2010-09-29
    • 2010-10-03
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多