La sicurezza del trasporto ha bloccato un HTTP in chiaro

Quale impostazione devo inserire in my info.plistper abilitare la modalità HTTP secondo il seguente messaggio di errore?

La sicurezza del trasporto ha bloccato un carico di risorse HTTP (http: //) in chiaro poiché non è sicuro. Eccezioni temporanee possono essere configurate tramite il file Info.plist della tua app.

Supponiamo che il mio dominio sia example.com.

Se stai usando Xcode 8.0+ e Swift 2.2+ o anche l'obiettivo C:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Usa NSAppTransportSecurity:

Devi impostare la chiave NSAllowsArbitraryLoads su YES nel dizionario NSAppTransportSecurity nel tuo file info.plist.

Ecco le impostazioni visivamente:

Vedi il post sul forum Application Transport Security? .

Anche la pagina Configurazione delle eccezioni di sicurezza del trasporto app in iOS 9 e OSX 10.11 .

Ad esempio, puoi aggiungere un dominio specifico come:

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>example.com</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
      <true/>
      <!--Include to specify minimum TLS version-->
      <key>NSTemporaryExceptionMinimumTLSVersion</key>
      <string>TLSv1.1</string>
    </dict>
  </dict>
</dict>

L'opzione pigra è:

<key>NSAppTransportSecurity</key>
<dict>
  <!--Include to allow all connections (DANGER)-->
  <key>NSAllowsArbitraryLoads</key>
      <true/>
</dict>

Nota:

info.plist è un file XML in modo da poter posizionare questo codice più o meno ovunque all'interno del file.

Questo è stato testato e funzionava su seed GM iOS 9: questa è la configurazione che consente a un dominio specifico di utilizzare HTTP anziché HTTPS:

<key>NSAppTransportSecurity</key>
<dict>
      <key>NSAllowsArbitraryLoads</key> 
      <false/>
       <key>NSExceptionDomains</key>
       <dict>
            <key>example.com</key> <!--Include your domain at this line -->
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
                <true/>
                <key>NSTemporaryExceptionMinimumTLSVersion</key>
                <string>TLSv1.1</string>
            </dict>
       </dict>
</dict>

NSAllowsArbitraryLoadsdeve essere falseperché non consente tutte le connessioni non sicure, ma l'elenco delle eccezioni consente la connessione ad alcuni domini senza HTTPS.

Questa è una soluzione rapida (ma non consigliata) per aggiungere questo nel plist:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Il che significa (secondo la documentazione di Apple ):

NSAllowsArbitraryLoads
Un valore booleano utilizzato per disabilitare la sicurezza del trasporto app per tutti i domini non elencati nel dizionario NSExceptionDomains. I domini elencati utilizzano le impostazioni specificate per quel dominio.

Il valore predefinito NO richiede il comportamento predefinito Sicurezza trasporto app per tutte le connessioni.

Consiglio vivamente i collegamenti:

• Nota tecnica di Apple
• La sessione 706 (Sicurezza e le tue app) del WWDC 2015 inizia intorno all'1: 50
• Sessione WW7 2015 711 (Networking con NSURLSession)
• Post di blog Spedizione di un'app con App Transport Security

che mi aiuta a capire le ragioni e tutte le implicazioni.

L'XML (nel file Info.plist) di seguito:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDE</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
        </dict>
    </dict>
</dict>

non consentire chiamate arbitrarie per tutte le pagine, ma per PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDEconsentirà che le connessioni utilizzino il protocollo HTTP.

All'XML sopra puoi aggiungere:

<key>NSIncludesSubdomains</key>
<true/>

se si desidera consentire connessioni non sicure per i sottodomini dell'indirizzo specificato.

L'approccio migliore è bloccare tutti i carichi arbitrari (impostato su false) e aggiungere eccezioni per consentire solo gli indirizzi che sappiamo siano a posto.

Per i lettori interessati

Aggiornamento 2018:

Apple non consiglia di disattivarlo: ulteriori informazioni sono disponibili nella sessione WWDC 2018 207 con ulteriori spiegazioni in merito alla sicurezza

Lasciare la risposta originale per ragioni storiche e fase di sviluppo

Per quelli di voi che desiderano un contesto più ampio sul perché ciò accada, oltre a come risolverlo, leggete di seguito.

Con l'introduzione di iOS 9, per migliorare la sicurezza delle connessioni tra un'app e i servizi Web, le connessioni protette tra un'app e il suo servizio Web devono seguire le migliori pratiche . Il comportamento delle migliori pratiche viene applicato da App Transport Security per:

• prevenire la divulgazione accidentale e
• fornire un comportamento predefinito sicuro.

Come spiegato nel Technote di sicurezza del trasporto di app , quando si comunica con il proprio servizio Web, App Transport Security presenta ora i seguenti requisiti e comportamenti:

• Il server deve supportare almeno il protocollo TLS (Transport Layer Security) versione 1.2.
• I codici di connessione sono limitati a quelli che forniscono segretezza diretta (vedere l'elenco di codici qui sotto).
• I certificati devono essere firmati utilizzando un algoritmo di hash SHA256 o migliore della firma, con una chiave RSA a 2048 bit o superiore o una chiave a curva ellittica (ECC) a 256 bit o superiore.
• I certificati non validi provocano un errore grave e nessuna connessione.

In altre parole, la richiesta del servizio Web deve: a.) Utilizzare HTTPS e b.) Essere crittografata mediante TLS v1.2 con segretezza diretta.

Tuttavia, come menzionato in altri post, è possibile ignorare questo nuovo comportamento da App Transport Security specificando il dominio non sicuro nella Info.plistpropria app.

Per sovrascrivere, dovrai aggiungere le NSAppTransportSecurity> NSExceptionDomainsproprietà del dizionario al tuo Info.plist. Successivamente, aggiungerai il dominio del tuo servizio web al NSExceptionDomainsdizionario.

Ad esempio, se desidero ignorare il comportamento della sicurezza del trasporto app per un servizio Web sull'host www.yourwebservicehost.com , farei quanto segue:

1. Apri la tua app in Xcode.

2. Trova il Info.plistfile in Project Navigator e fai clic con il tasto destro del mouse su di esso e scegli l' opzione di menu Apri come > Codice sorgente . Il file dell'elenco delle proprietà verrà visualizzato nel riquadro destro.

3. Inserisci il seguente blocco di proprietà all'interno del dizionario delle proprietà principale (sotto il primo <dict>).

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Se è necessario fornire eccezioni per domini aggiuntivi, aggiungerebbe un'altra proprietà del dizionario di seguito NSExceptionDomains.

Per saperne di più sui tasti citati sopra, leggi questo technote già menzionato .

Non mi piace modificare direttamente il plist. Puoi facilmente aggiungerlo al plist usando la GUI:

• Fai clic su Info.plist nel Navigator a sinistra.

• Ora cambia i dati nell'area principale:

  • Nell'ultima riga aggiungi il +
  • Immettere il nome del gruppo: Impostazioni sicurezza trasporto app
  • Fare clic con il tasto destro sul gruppo e selezionare Add Row
  • Immettere Consenti carichi arbitrari
  • Impostare il valore a destra su SÌ

Esistono due soluzioni per questo:

Soluzioni 1:

1. Nel Info.plistfile aggiungi un dizionario con chiave ' NSAppTransportSecurity'
2. Aggiungi un altro elemento all'interno del dizionario con chiave 'Allow Arbitrary Loads'

Plist la struttura dovrebbe apparire come mostrato nell'immagine seguente.

Soluzione 2:

1. Nel Info.plistfile aggiungi un dizionario con chiave ' NSAppTransportSecurity'
2. Aggiungi un altro elemento nel dizionario con la chiave ' NSExceptionDomains'
3. Aggiungi elemento con chiave 'MyDomainName.com'di tipo NSDictionary
4. Aggiungi elemento con chiave ' NSIncludesSubdomains' di tipo Booleane valore impostato comeYES
5. Aggiungi elemento con chiave ' NSTemporaryExceptionAllowsInsecureHTTPLoads' di tipo Booleane valore impostato comeYES

Plist la struttura dovrebbe apparire come mostrato nell'immagine seguente.

La soluzione 2 è preferita poiché consente solo il dominio selezionato, mentre la soluzione 1 consente tutte le connessioni HTTP non sicure.

La sicurezza del trasporto è disponibile su iOS 9.0 o versioni successive. È possibile che venga visualizzato questo avviso quando si tenta di chiamare un WS all'interno dell'applicazione:

Application Transport Security ha bloccato un carico di risorse HTTP (http: //) in chiaro poiché non è sicuro. Eccezioni temporanee possono essere configurate tramite il file Info.plist della tua app.

L'aggiunta di quanto segue a Info.plist disattiverà ATS:

<key>NSAppTransportSecurity</key>
<dict>
     <key>NSAllowsArbitraryLoads</key><true/>
</dict>

Esempio di sviluppo

Ecco uno screenshot di un plist che mantiene intatto ATS (= sicuro), ma consente che le connessioni a localhost possano essere effettuate tramite HTTP anziché HTTPS . Funziona in Xcode 7.1.1.

Vai al tuo Info.plist

1. Fare clic destro su spazio vuoto e fare clic su Aggiungi riga
2. Scrivi il nome chiave come NSAppTransportSecurity, sotto di esso
3. Seleziona Domini di eccezione, aggiungi un nuovo elemento a questo
4. Scrivi il tuo nome di dominio a cui devi accedere
5. Cambia il tipo di dominio da stringa a dizionario, aggiungi un nuovo elemento
6. NSTemporaryExceptionAllowsInsecureHTTPLoads, che sarà un valore booleano con un valore vero.

Secondo Apple, in genere la disabilitazione di ATS comporterà il rifiuto delle app, a meno che tu non abbia una buona ragione per farlo. Anche in questo caso, è necessario aggiungere eccezioni per i domini ai quali è possibile accedere in modo sicuro.

Apple ha uno strumento eccellente che ti dice esattamente quali impostazioni usare: in Terminale, inserisci

/usr/bin/nscurl --ats-diagnostics --verbose https://www.example.com/whatever

e nscurl verificherà se questa richiesta ha esito negativo, quindi tenterà una varietà di impostazioni e ti dirà esattamente quale passa e cosa fare. Ad esempio, per alcuni URL di terze parti che visito, questo comando mi ha detto che questo dizionario passa:

{
    NSExceptionDomains = {
        "www.example.com" = {
            NSExceptionRequiresForwardSecrecy = false;
        };
    };
}

Per distinguere tra i tuoi siti e quelli di terze parti che sono fuori dal tuo controllo, usa, ad esempio, la chiave NSThirdPartyExceptionRequiresForwardSecrecy.

Capire quali impostazioni usare possono essere eseguite automaticamente, come menzionato in questo technote :

/usr/bin/nscurl --ats-diagnostics --verbose https://your-domain.com

NOTA: il dominio dell'eccezione nel plist dovrebbe essere in LOWER-CASE.

Esempio: hai chiamato la tua macchina "MyAwesomeMacbook" in Impostazioni-> Condivisione; il tuo server (a scopo di test) è in esecuzione su MyAwesomeMacbook.local: 3000 e la tua app deve inviare una richiesta a http: //MyAwesomeMacbook.local: 3000 / files ..., devi specificare "myawesomemacbook. local "come dominio di eccezione.

-

La tua info.plist conterrebbe ...

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>myawesomemacbook.local</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSExceptionAllowsInsecureHTTPLoads</key>
      <true/>
    </dict>
  </dict>
</dict>

Uso:

Aggiungi un nuovo elemento, NSAppTransportSecurity , nel file plist con il tipo Dizionario , quindi aggiungi l'elemento secondario NSAllowsArbitraryCarica nel dizionario di tipo Booleano e imposta il valore booleano SÌ . Questo funziona per me.

25/09/2015 (dopo gli aggiornamenti di Xcode sul 18/09/2015):

Ho usato un metodo non pigro, ma non ha funzionato. I seguenti sono i miei tentativi.

Primo,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSTemporaryExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

E secondo,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Infine, ho usato il metodo pigro:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Potrebbe essere un po 'insicuro, ma non sono riuscito a trovare altre soluzioni.

In swift 4 e xocde 10 è necessario modificare NSAllowsArbitraryLoads per consentire carichi arbitrari. quindi sarà simile a questo:

<key>App Transport Security Settings</key>
<dict>
     <key>Allow Arbitrary Loads</key><true/>
</dict>

Vale la pena ricordare come arrivarci ...

Info.plist è uno dei file sotto Main.storyboard o viewController.swift.

Quando fai clic su di esso per la prima volta, di solito è in un formato tabella, quindi fai clic con il pulsante destro del mouse sul file e 'apri come' Codice sorgente, quindi aggiungi il codice in basso verso la fine, ovvero:

 <key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict>

Copia incolla il codice appena sopra

 "</dict>
</plist>"

che è alla fine.

Aggiornamento per Xcode 7.1, affrontando il problema 27.10.15:

Il nuovo valore in Info.plist è "Impostazioni di sicurezza del trasporto app". Da lì, questo dizionario dovrebbe contenere:

• Consenti carichi arbitrari = SÌ
• Domini di eccezione (inserisci qui il tuo dominio http)

Per coloro che sono venuti qui cercando di trovare il motivo per cui il loro WKWebView è sempre bianco e non carica nulla (esattamente come descritto qui come faccio a far funzionare WKWebView in modo rapido e per un'app macOS ):

Se tutta la scienza missilistica di cui sopra non funziona per te, controlla l'ovvio: le impostazioni sandbox

Essendo nuovo per il rapido e il cacao, ma piuttosto esperto nella programmazione, ho impiegato circa 20 ore per trovare questa soluzione. Nessuna dozzina di tutorial iOS per hipster o note chiave di Apple: nulla menziona questa piccola casella di controllo.

Per impostazione predefinita, iOS consente solo l'API HTTPS. Poiché HTTP non è sicuro, dovrai disabilitare la sicurezza del trasporto delle app. Esistono due modi per disabilitare ATS: -

1. Aggiunta del codice sorgente nel progetto info.plist e aggiunta del codice seguente nel tag root.

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

2. Utilizzo delle informazioni sul progetto.

Fare clic sul progetto nel progetto a sinistra, selezionare il progetto come destinazione e selezionare la scheda Informazioni. Devi aggiungere il dizionario nella seguente struttura.

Come sistemarlo?

Di seguito i passaggi per risolverlo.

L'uso NSExceptionDomainspotrebbe non applicare un effetto simultaneamente a causa del sito di destinazione può caricare risorse (ad es. jsFile) da domini esterni http. Può essere risolto aggiungendo anche questi domini esterni NSExceptionDomains.

Per verificare quali risorse non possono essere caricate, provare a utilizzare il debug remoto. Ecco un tutorial: http://geeklearning.io/apache-cordova-and-remote-debugging-on-ios/

Per Cordova, se si desidera aggiungerlo nel proprio ios.json, procedere come segue:

"NSAppTransportSecurity": [
   {
      "xml": "<dict><key>NSAllowsArbitraryLoads</key><true /></dict>"
   }
]

E dovrebbe essere all'interno di:

"*-Info.plist": {
   "parents": {
   }
}

Come molti hanno notato, questo è un problema di funzionalità fornito con iOS 9.0. Hanno aggiunto una cosa chiamata App Transport Security, e anche io ero infastidito quando ha rotto le mie app.

Puoi fasciarlo con la chiave NSAllowsArbitraryLoads su YES nel dizionario NSAppTransportSecurity nel tuo file .plist, ma alla fine dovrai riscrivere il codice che forma i tuoi URL per formare il prefisso HTTPS: //.

Apple ha riscritto la classe NSUrlConnection in iOS 9.0. Puoi leggerlo in NSURLConnection .

Altrimenti, potrebbe essere necessario uscire da iOS 9.0 fino a quando non si ha il tempo di implementare la soluzione corretta.