Android网络安全性配置

网络安全性配置特性让应用可以在一个安全的声明性配置文件中自定义其网络安全设置，而无需修改应用代码。可以针对特定域和特定应用配置这些设置。此特性的主要功能如下所示：

创新互联是一家集网站建设,天等企业网站建设,天等品牌网站建设,网站定制,天等网站建设报价,网络营销,网络优化,天等网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

自定义信任锚：针对应用的安全连接自定义哪些证书颁发机构 (CA) 值得信任。例如，信任特定的自签署证书或限制应用信任的公共 CA 集。
仅调试重写：在应用中以安全方式调试安全连接，而不会增加已安装用户的风险。
明文通信选择退出：防止应用意外使用明文通信。
证书固定：将应用的安全连接限制为特定的证书。

添加安全配置文件

网络安全性配置特性使用一个 XML 文件，您可以在该文件中指定应用的设置。您必须在应用的清单中包含一个条目以指向该文件。以下代码摘自一份清单，演示了如何创建此条目：

自定义可信 CA

应用可能需要信任自定义的 CA 集，而不是平台默认值。出现此情况的最常见原因包括：

连接到具有自定义证书颁发机构的主机，如自签署或在公司内部签发的 CA。
将 CA 集仅限于您信任的 CA，而不是每个预装 CA。
信任系统中未包含的附加 CA。

默认情况下，来自所有应用的安全连接(使用 TLS 和 HTTPS 之类的协议)均信任预装的系统 CA，而面向 Android 6.0(API 级别 23)及更低版本的应用默认情况下还会信任用户添加的 CA 存储。应用可以使用 base-config(应用范围的自定义)或 domain-config(按域自定义)自定义自己的连接。

配置自定义 CA

假设您要连接到使用自签署 SSL 证书的主机，或者连接到其 SSL 证书是由您信任的非公共 CA(如公司的内部 CA)签发的主机。

res/xml/network_security_config.xml：

以 PEM 或 DER 格式将自签署或非公共 CA 证书添加到 res/raw/my_ca。

限制可信 CA 集

如果应用不想信任系统信任的所有 CA，则可以自行指定，缩减要信任的 CA 集。这样可以防止应用信任任何其他 CA 签发的欺诈性证书。

限制可信 CA 集的配置与针对特定域信任自定义 CA 相似，不同的是，前者要在资源中提供多个 CA。

res/xml/network_security_config.xml：

 
 
 
  
  
  
  
  
  
  
  
      
  
  
          secure.cdxwcx.com
  
  
          cdn.cdxwcx.com

以 PEM 或 DER 格式将可信 CA 添加到 res/raw/trusted_roots。请注意，如果使用 PEM 格式，文件必须仅包含 PEM 数据，且没有额外的文本。您还可以提供多个元素，而不是只提供一个元素。

信任附加 CA

应用可能需要信任系统不信任的附加 CA，出现此情况的原因可能是系统还未包含此 CA，或 CA 不符合添加到 Android 系统中的要求。应用可以通过为一个配置指定多个证书源来实现此目的。

res/xml/network_security_config.xml：

配置用于调试的 CA

调试通过 HTTPS 连接的应用时，您可能需要连接到没有为生产服务器提供 SSL 证书的本地开发服务器。为了支持此操作，而又不对应用的代码进行任何修改，您可以通过使用 debug-overrides 指定仅在 android:debuggable 为 true 时才可信的仅调试 CA。通常，IDE 和构建工具会自动为非发布版本设置此标记。

这比一般的条件代码更安全，因为出于安全考虑，应用存储不接受被标记为可调试的应用。

res/xml/network_security_config.xml：

选择退出明文通信

旨在连接到仅使用安全连接的目的地的应用可以选择不再对这些目的地提供明文(使用解密的 HTTP 协议而非 HTTPS)支持。此选项有助于防止应用因外部源(如后端服务器)提供的网址发生变化而意外回归。请参阅 NetworkSecurityPolicy.isCleartextTrafficPermitted()，了解更多详情。

例如，应用可能需要确保与 secure.cdxwcx.com 的所有连接始终通过 HTTPS 完成，以防止来自恶意网络的敏感流量。

res/xml/network_security_config.xml：

 
 
 
  
  
  
  
  
  
  
  
      
  
  
          secure.cdxwcx.com

固定证书

一般情况下，应用信任所有预装 CA。如果有预装 CA 签发欺诈性证书，则应用将面临被中间人攻击的风险。有些应用通过限制信任的 CA 集或通过证书固定来选择限制其接受的证书集。

通过按公钥的哈希值(X.509 证书的 SubjectPublicKeyInfo)提供证书集完成证书固定。然后，只有至少包含一个已固定的公钥时，证书链才有效。

请注意，使用证书固定时，您应始终包含一个备份密钥，这样，当您被强制切换到新密钥或更改 CA 时(固定到某个 CA 证书或该 CA 的中间证书时)，您应用的连接性不会受到影响。否则，您必须推送应用的更新以恢复连接性。

此外，可以设置固定的到期时间，在该时间之后不执行证书固定。这有助于防止尚未更新的应用出现连接性问题。不过，设置固定的到期时间可能会绕过证书固定。

res/xml/network_security_config.xml：

 
 
 
  
  
  
  
  
  
  
  
      
  
  
          cdxwcx.com
  
  
          
  
  
              7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=
  
  
              
  
  
              fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=

配置继承行为

将继承未在特定配置中设置的值。此行为允许进行更复杂的配置，同时又能保证配置文件可读。

如果未在特定条目中设置值，将使用来自更通用条目中的值。例如，未在 domain-config 中设置的值将从父级 domain-config(如果已嵌套)或者 base-config(如果未嵌套)中获取。未在 base-config 中设置的值将使用平台默认值。

例如，到 cdxwcx.com 的子域的所有连接都必须使用自定义 CA 集。此外，允许使用这些域的明文通信，连接到 secure.cdxwcx.com 时除外。通过在 cdxwcx.com 的配置中嵌套 secure.cdxwcx.com 的配置，不需要重复 trust-anchors。

res/xml/network_security_config.xml：

 
 
 
  
  
  
  
  
  
  
  
      
  
  
          cdxwcx.com
  
  
          
  
  
              
  
  
          
  
  
          
  
  
              secure.cdxwcx.com

配置文件格式

网络安全性配置特性使用 XML 文件格式。文件的整体结构如以下代码示例所示：




                
                分享名称：Android网络安全性配置
                

                标题来源：http://www.mswzjz.cn/qtweb/news9/218409.html
            
            
                攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等
                                
            
                广告
                
            
            
                声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：
                贝锐智能

贝锐智能技术为您推荐以下文章