Meine iOS-Apps sind mit ATS gesichert, um die Sicherheit zu gewährleisten. Websites verwenden HSTS. Was ist die äquivalente Technologie für Android?HSTS oder ATS gleichwertig für Android?
Danke. :-)
Meine iOS-Apps sind mit ATS gesichert, um die Sicherheit zu gewährleisten. Websites verwenden HSTS. Was ist die äquivalente Technologie für Android?HSTS oder ATS gleichwertig für Android?
Danke. :-)
Android hat ähnliche Funktionen in API Level 23 eingeführt. Sie können dies in der network_security_config.xml
Datei tun. Dies ist das Beispiel aus dem Android documentation:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config cleartextTrafficPermitted="false">
<domain includeSubdomains="true">secure.example.com</domain>
</domain-config>
</network-security-config>
Stellen Sie sicher, Ihre network_security_config.xml
Datei in Ihrer Anwendung manifestieren einschließlich wie zu Beginn der Dokumentation angegeben, andernfalls wird die Datei ignoriert.
Gibt es eine Möglichkeit anzugeben, dass der gesamte Datenverkehr an alle Domänen verschlüsselt werden soll?
Ja. Aktualisieren Sie das Element base-config
, und setzen Sie das Attribut cleartextTrafficPermitted
auf false
.
<network-security-config>
<base-config cleartextTrafficPermitted="false">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
</network-security-config>
Es ist erwähnenswert, dass ich nicht sofort eine Möglichkeit sehe, TLS 1.2 im Konfigurations-/Anwendungsmanifest durchzusetzen. – vcsjones
Dies spezifiziert TLS nur für 'secure.example.com' (und seine Subdomains), oder? Gibt es eine Möglichkeit zu spezifizieren, dass * alle * Verkehr zu * allen * Domain verschlüsselt werden soll? –
@FranklinYu Entschuldigung, es dauerte mich ... Monate ... zu antworten, aber ja, siehe aktualisierte Antwort. – vcsjones