【发布时间】:2016-04-13 17:48:50
【问题描述】:
我的 iOS 应用程序使用 ATS 保护以加强安全性。 网站正在使用 HSTS。 Android 的等效技术是什么?
谢谢。 :-)
【问题讨论】:
标签: java android security hsts
我的 iOS 应用程序使用 ATS 保护以加强安全性。 网站正在使用 HSTS。 Android 的等效技术是什么?
谢谢。 :-)
【问题讨论】:
标签: java android security hsts
Android 在 API 级别 23 中引入了类似的功能。您可以在 network_security_config.xml 文件中执行此操作。这是来自Android documentation 的示例:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config cleartextTrafficPermitted="false">
<domain includeSubdomains="true">secure.example.com</domain>
</domain-config>
</network-security-config>
确保按照文档开头指定的方式在应用程序清单中包含 network_security_config.xml 文件,否则该文件将被忽略。
有没有办法指定所有域的所有流量都应该加密?
是的。更新base-config 元素并将cleartextTrafficPermitted 属性设置为false。
<network-security-config>
<base-config cleartextTrafficPermitted="false">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
</network-security-config>
【讨论】:
secure.example.com(及其子域),对吗?有没有办法指定 all 到 all 域的流量应该被加密?