iOS ATSHTTPS的问题

App Transport Security应用程序传输安全机制

iOS 9起苹果就开始推荐使用HTTPS，iOS 9中默认是禁止非HTTPS的协议来访问网络的.

2017年1月1日起苹果提出所有新提交的App默认不允许使用NSAllowsArbitraryLoads来绕过ATS的限制。

也就是说强制我们用HTTPS，

是从哪里买的或者是使用限时免费版只要符合苹果官方的证书要求，具体要求参考： Apple-NSAppTransportSecurity 。那么什么都不要设置，只需要启用项目的ATS，就可以HTTPS请求了。。

如果还想添加其它只支持HTTP的请求，按前面Exception Domains的设置即可。

以下几种情况可以设置特例不支持ATS： ·App提供流媒体服务，媒体源已经对内容进行了加密，这时只要使用苹果的AV Foundation框架加载内容，就可以无视ATS·App的内容如果有来自已知的第三方，不过最好的做法是和第三方沟通下

之前苹果强制app上传AppStore必须支持ATS,截至日期是2017年01月01日,但是由于各种原因,导致deadline延期.具体什么时候苹果会强制ATS,官方暂时还没有给出明确答复.

支持Https后,一般情况下只会给域名添加证书.导致app所有的http请求都会走域名,这样就会有DNS劫持的风险.无论wifi网络下,还是移动网络根据域名都会去DNS服务解析成ip,然后进行访问.由于国内网络环境的原因,都会有DNS劫持的情况,一般会在访问网页的时候,在页面上嵌入一段js代码,甚至有些情况会出现DNS解析失败.尤其是用户达到一定规模,各种网络状况都会出现.

这里用移动设备举例,如果是wifi网络,一般用户是不会修改网络设置的DNS. 很有可能用户网络环境由于种种原因,会造成无法访问http服务.ATS之前的解决方案是可以直接使用ip地址,一般app都会有这样一个逻辑,从服务器获取DNS Config,这里面一般配置了domain,ip,protocol,port等属性,App的请求可以根据DNS Config进行动态调整.但是支持ATS后天,苹果设置必须支持https.这样一旦使用域名的http服务,都会有可能遇到DNS劫持的情况.

由于IP不一定能够长期保持,所以一般不会给ip地址配证书.一旦苹果强制支持ATS,那么就存在DNS劫持的风险.

dig命令查询DNS解析,下面是解析百度的域名

12345678910111213141516171819202122232425262728293031323334

dig www.baidu.com <<>>DiG 9.8.3-P1 <<>>www.baidu.comglobal options: +cmdGot answer:->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48389flags: qr rd raQUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 5 QUESTION SECTION:www.baidu.com. IN A ANSWER SECTION:www.baidu.com. 380 IN CNAME www.a.shifen.com.www.a.shifen.com. 134 IN A 119.75.218.70www.a.shifen.com. 134 IN A 119.75.217.109 AUTHORITY SECTION:a.shifen.com. 194 IN NS ns3.a.shifen.com.a.shifen.com. 194 IN NS ns5.a.shifen.com.a.shifen.com. 194 IN NS ns4.a.shifen.com.a.shifen.com. 194 IN NS ns2.a.shifen.com.a.shifen.com. 194 IN NS ns1.a.shifen.com. ADDITIONAL SECTION:ns4.a.shifen.com. 49 IN A 115.239.210.176ns2.a.shifen.com. 580 IN A 180.149.133.241ns5.a.shifen.com. 580 IN A 119.75.222.17ns1.a.shifen.com. 580 IN A 61.135.165.224ns3.a.shifen.com. 238 IN A 61.135.162.215 Query time: 6 msecSERVER: 172.17.16.3#53(172.17.16.3)WHEN: Tue Feb 21 12:25:06 2017MSG SIZE rcvd: 260

浏览器直接输入这两个ip:119.75.218.70,119.75.217.109,可以直接访问百度.如果前面加上https://119.75.218.70,进行访问,由于没有证书会显示不安全的链接.但是跳过之后还是能够正常访问.我用ios设备测试,底层调用https://ip可以正常访问.各种请求都没有问题.

如果正常网络环境下可以用所有的http服务尽量域名访问,每次启动app时可以向服务器获取dig出来的ip作为备用ip,一旦遇到DNS劫持的情况,虽然没有给ip配证书,但是底层可以使用ip正常访问.

---