A segurança de transporte bloqueou um HTTP em texto não criptografado

Que configuração eu preciso colocar no meu info.plistpara ativar o modo HTTP de acordo com a seguinte mensagem de erro?

A segurança de transporte bloqueou um carregamento de recurso HTTP (http: //) em texto não criptografado, pois é inseguro. Exceções temporárias podem ser configuradas através do arquivo Info.plist do seu aplicativo.

Suponha que meu domínio seja example.com.

Se você estiver usando o Xcode 8.0+ e o Swift 2.2+ ou até o Objetivo C:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Use NSAppTransportSecurity:

Você deve definir a chave NSAllowsArbitraryLoads como YES no dicionário NSAppTransportSecurity em seu arquivo info.plist .

Aqui estão as configurações visualmente:

Veja a publicação no fórum Application Transport Security? .

Também na página Configurando exceções de segurança do App Transport no iOS 9 e OSX 10.11 .

Por exemplo, você pode adicionar um domínio específico como:

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>example.com</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
      <true/>
      <!--Include to specify minimum TLS version-->
      <key>NSTemporaryExceptionMinimumTLSVersion</key>
      <string>TLSv1.1</string>
    </dict>
  </dict>
</dict>

A opção lenta é:

<key>NSAppTransportSecurity</key>
<dict>
  <!--Include to allow all connections (DANGER)-->
  <key>NSAllowsArbitraryLoads</key>
      <true/>
</dict>

Nota:

info.plist é um arquivo XML para que você possa colocar esse código mais ou menos em qualquer lugar dentro do arquivo.

Isso foi testado e estava funcionando na semente do iOS 9 GM - esta é a configuração para permitir que um domínio específico use HTTP em vez de HTTPS:

<key>NSAppTransportSecurity</key>
<dict>
      <key>NSAllowsArbitraryLoads</key> 
      <false/>
       <key>NSExceptionDomains</key>
       <dict>
            <key>example.com</key> <!--Include your domain at this line -->
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
                <true/>
                <key>NSTemporaryExceptionMinimumTLSVersion</key>
                <string>TLSv1.1</string>
            </dict>
       </dict>
</dict>

NSAllowsArbitraryLoadsdeve ser false, porque não permite todas as conexões inseguras, mas a lista de exceções permite a conexão com alguns domínios sem HTTPS.

Esta é uma solução rápida (mas não recomendada) para adicionar isso ao plist:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

O que significa (de acordo com a documentação da Apple ):

NSAllowsArbitraryLoads
Um valor booleano usado para desativar o App Transport Security para todos os domínios não listados no dicionário NSExceptionDomains. Os domínios listados usam as configurações especificadas para esse domínio.

O valor padrão NO requer o comportamento padrão do App Transport Security para todas as conexões.

Eu realmente recomendo links:

• Nota técnica da Apple
• A sessão 706 da WWDC 2015 (segurança e seus aplicativos) começa em torno de 1:50
• Sessão 711 da WWDC 2015 (Trabalho em rede com NSURLSession)
• Postagem no blog Envio de um aplicativo com segurança de transporte de aplicativos

o que me ajuda a entender as razões e todas as implicações.

O XML (no arquivo Info.plist) abaixo irá:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDE</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
        </dict>
    </dict>
</dict>

não permitir chamadas arbitrárias para todas as páginas, mas for PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDEpermitirá que essas conexões usem o protocolo HTTP.

Para o XML acima, você pode adicionar:

<key>NSIncludesSubdomains</key>
<true/>

se você deseja permitir conexões não seguras para os subdomínios do endereço especificado.

A melhor abordagem é bloquear todas as cargas arbitrárias (configuradas como false) e adicionar exceções para permitir apenas endereços que sabemos que estão bem.

Para leitores interessados

Atualização de 2018:

A Apple não recomenda a desativação - mais informações podem ser encontradas na sessão 207 da WWDC 2018 com mais coisas explicadas em relação à segurança

Deixando a resposta original por razões históricas e fase de desenvolvimento

Para aqueles que desejam um contexto mais aprofundado sobre o motivo disso acontecer, além de como corrigi-lo, leia abaixo.

Com a introdução do iOS 9, para melhorar a segurança das conexões entre um aplicativo e serviços da web, as conexões seguras entre um aplicativo e seu serviço da web devem seguir as práticas recomendadas . O comportamento das melhores práticas é imposto pelo App Transport Security para:

• impedir a divulgação acidental, e
• forneça um comportamento padrão seguro.

Conforme explicado na Nota técnica de segurança de transporte de aplicativo , ao se comunicar com seu serviço da Web, o App Transport Security agora possui os seguintes requisitos e comportamento:

• O servidor deve suportar pelo menos a versão 1.2 do protocolo Transport Layer Security (TLS).
• As cifras de conexão são limitadas àquelas que fornecem sigilo para a frente (veja a lista de cifras abaixo).
• Os certificados devem ser assinados usando um algoritmo de hash de assinatura SHA256 ou melhor, com uma chave RSA de 2048 bits ou superior ou uma chave de curva elíptica (ECC) de 256 bits ou superior.
• Certificados inválidos resultam em falha grave e sem conexão.

Em outras palavras, sua solicitação de serviço da web deve: a.) Usar HTTPS eb.) Ser criptografada usando o TLS v1.2 com sigilo direto.

No entanto, como mencionado em outras postagens, você pode substituir esse novo comportamento do App Transport Security especificando o domínio não seguro no diretório Info.plist aplicativo.

Para substituir, você precisará adicionar o NSAppTransportSecurity>NSExceptionDomains propriedades do dicionário ao seu Info.plist. Em seguida, você adicionará o domínio do seu serviço da web ao NSExceptionDomainsdicionário.

Por exemplo, se eu quiser ignorar o comportamento da Segurança de Transporte de Aplicativo para um serviço da Web no host www.yourwebservicehost.com , faça o seguinte:

1. Abra seu aplicativo no Xcode.

2. Localize o Info.plistarquivo no Project Navigator e clique com o botão direito do mouse e escolha a opção de menu Abrir como > Código-fonte . O arquivo da lista de propriedades aparecerá no painel direito.

3. Coloque o seguinte bloco de propriedades dentro do dicionário de propriedades principal (abaixo do primeiro <dict>).

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Se você precisar fornecer exceções para domínios adicionais, adicione outra propriedade de dicionário abaixo NSExceptionDomains .

Para descobrir mais sobre as chaves mencionadas acima, leia esta nota técnica já mencionada .

Eu não gosto de editar o plist diretamente. Você pode adicioná-lo facilmente ao plist usando a GUI:

• Clique no Info.plist no Navegador à esquerda.

• Agora altere os dados na área principal:

  • Na última linha, adicione o botão +
  • Digite o nome do grupo: Configurações de segurança de transporte de aplicativos
  • Clique com o botão direito do mouse no grupo e selecione Add Row
  • Digite Permitir Cargas Arbitrárias
  • Defina o valor à direita como YES

Existem duas soluções para isso:

Soluções 1:

1. No Info.plistarquivo, adicione um dicionário com a chave ' NSAppTransportSecurity'
2. Adicione outro elemento dentro do dicionário com a chave 'Allow Arbitrary Loads'

Plist estrutura deve aparecer como mostrado na imagem abaixo.

Solução 2:

1. No Info.plistarquivo, adicione um dicionário com a chave ' NSAppTransportSecurity'
2. Adicione outro elemento dentro do dicionário com a chave ' NSExceptionDomains'
3. Adicionar elemento com chave 'MyDomainName.com'do tipo NSDictionary
4. Adicione elemento com a chave ' NSIncludesSubdomains' do tipo Booleane valor definido comoYES
5. Adicione elemento com a chave ' NSTemporaryExceptionAllowsInsecureHTTPLoads' do tipo Booleane valor definido comoYES

Plist estrutura deve aparecer como mostrado na imagem abaixo.

A solução 2 é preferida, pois permite apenas o domínio selecionado, enquanto a solução 1 permite todas as conexões HTTP inseguras.

A segurança de transporte está disponível no iOS 9.0 ou posterior. Você pode receber este aviso ao tentar chamar um WS dentro do seu aplicativo:

O Application Transport Security bloqueou um carregamento de recurso HTTP (http: //) em texto não criptografado, pois é inseguro. Exceções temporárias podem ser configuradas através do arquivo Info.plist do seu aplicativo.

Adicionar o seguinte ao seu Info.plist desativará o ATS:

<key>NSAppTransportSecurity</key>
<dict>
     <key>NSAllowsArbitraryLoads</key><true/>
</dict>

Exemplo de Desenvolvimento

Aqui está uma captura de tela de um plist que mantém o ATS intacto (= seguro), mas permite que as conexões com o host local possam ser feitas via HTTP em vez de HTTPS . Funciona no Xcode 7.1.1.

Vá para o seu Info.plist

1. Clique com o botão direito do mouse no espaço vazio e clique em Adicionar linha
2. Escreva o nome da chave como NSAppTransportSecurity, abaixo dele
3. Selecione Domínios de exceção, Adicione um novo item a este
4. Anote seu nome de domínio que precisa ser acessado
5. Altere o tipo de domínio de String para Dictionary, adicione um novo Item
6. NSTemporaryExceptionAllowsInsecureHTTPLoads, que será um booleano com um valor verdadeiro.

Segundo a Apple, geralmente a desativação do ATS levará à rejeição de aplicativos, a menos que você tenha um bom motivo para fazê-lo. Mesmo assim, você deve adicionar exceções para domínios que você pode acessar com segurança.

A Apple possui uma excelente ferramenta que informa exatamente quais configurações usar: No Terminal, digite

/usr/bin/nscurl --ats-diagnostics --verbose https://www.example.com/whatever

O nscurl verificará se essa solicitação falhará e, em seguida, tente várias configurações e informará exatamente qual delas é aprovada e o que fazer. Por exemplo, para alguns URLs de terceiros que visito, este comando me disse que esse dicionário é aprovado:

{
    NSExceptionDomains = {
        "www.example.com" = {
            NSExceptionRequiresForwardSecrecy = false;
        };
    };
}

Para distinguir entre seus próprios sites e sites de terceiros que estão fora de seu controle, use, por exemplo, a chave NSThirdPartyExceptionRequiresForwardSecrecy.

Descobrir quais configurações usar podem ser executadas automaticamente, conforme mencionado nesta nota técnica :

/usr/bin/nscurl --ats-diagnostics --verbose https://your-domain.com

NOTA: O domínio de exceção no seu plist deve estar em LOWER-CASE.

Exemplo: você nomeou sua máquina como "MyAwesomeMacbook" em Configurações-> Compartilhamento; seu servidor (para fins de teste) está sendo executado em MyAwesomeMacbook.local: 3000 e seu aplicativo precisa enviar uma solicitação para http: //MyAwesomeMacbook.local: 3000 / files ..., sua lista, você precisará especificar "myawesomemacbook. local "como o domínio de exceção.

-

Seu info.plist conteria ...

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>myawesomemacbook.local</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSExceptionAllowsInsecureHTTPLoads</key>
      <true/>
    </dict>
  </dict>
</dict>

Usar:

Adicione um novo item, NSAppTransportSecurity , no arquivo plist com o tipo Dictionary , depois adicione o subitem NSAllowsArbitraryLoads no dicionário do tipo Booleano e defina o valor booleano YES . Isso funciona para mim.

Em 25/09/2015 (após as atualizações do Xcode em 18/09/2015):

Eu usei um método não preguiçoso, mas não funcionou. As seguintes são minhas tentativas.

Primeiro,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSTemporaryExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

E em segundo lugar,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Por fim, usei o método preguiçoso:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Pode ser um pouco inseguro, mas não consegui encontrar outras soluções.

No swift 4 e no xocde 10, altere NSAllowsArbitraryLoads para permitir cargas arbitrárias. então será assim:

<key>App Transport Security Settings</key>
<dict>
     <key>Allow Arbitrary Loads</key><true/>
</dict>

Vale a pena mencionar como chegar lá ...

Info.plist é um dos arquivos abaixo do Main.storyboard ou viewController.swift.

Quando você clica nele pela primeira vez, geralmente ele está no formato de tabela; portanto, clique com o botão direito do mouse no arquivo e 'abra como' Código-fonte e adicione o código abaixo no final, ou seja:

 <key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict>

Copie e cole o código logo acima

 "</dict>
</plist>"

que está no fim.

Atualização para o Xcode 7.1, enfrentando o problema 27.10.15:

O novo valor no Info.plist é "Configurações de segurança de transporte de aplicativos". A partir daí, este dicionário deve conter:

• Permitir cargas arbitrárias = SIM
• Domínios de exceção (insira aqui seu domínio http)

Para aqueles que vieram aqui tentando descobrir o motivo pelo qual o WKWebView é sempre branco e não carrega nada (exatamente como descrito aqui, como faço para que o WKWebView funcione rapidamente e para um aplicativo macOS ):

Se toda a ciência do foguete acima não funcionar, verifique o óbvio: as configurações da sandbox

Sendo novo no Swift e no cacau, mas bastante experiente em programação, passo cerca de 20 horas para encontrar esta solução. Nenhuma das dezenas de tutoriais de hipster para iOS nem notas-chave da apple - nada menciona essa pequena caixa de seleção.

Por padrão, o iOS permite apenas a API HTTPS. Como o HTTP não é seguro, você precisará desativar a segurança de transporte de aplicativos. Há duas maneiras de desativar o ATS:

1. Adicionando código-fonte no projeto info.plist e adicione o seguinte código na tag raiz.

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

2. Usando informações do projeto.

Clique no projeto no painel esquerdo, selecione o projeto como destino e escolha a guia Informações. Você precisa adicionar o dicionário na seguinte estrutura.

Como corrigi-lo?

Abaixo as etapas para corrigi-lo.

O uso NSExceptionDomainspode não aplicar um efeito simultaneamente, pois o site de destino pode carregar recursos (por exemplo, jsarquivos) de domínios externos http. Isso pode ser resolvido adicionando esses domínios externos NSExceptionDomainstambém.

Para inspecionar quais recursos não podem ser carregados, tente usar a Depuração remota. Aqui está um tutorial: http://geeklearning.io/apache-cordova-and-remote-debugging-on-ios/

Para o Cordova, se você quiser adicioná-lo ao seu ios.json, faça o seguinte:

"NSAppTransportSecurity": [
   {
      "xml": "<dict><key>NSAllowsArbitraryLoads</key><true /></dict>"
   }
]

E deve estar dentro de:

"*-Info.plist": {
   "parents": {
   }
}

Como muitos observaram, esse é um problema de recurso que vem com o iOS 9.0. Eles adicionaram uma coisa chamada App Transport Security, e eu também fiquei chateado quando ele quebrou meus aplicativos.

Você pode fazer um curativo com a chave NSAllowsArbitraryLoads para YES no dicionário NSAppTransportSecurity em seu arquivo .plist, mas, em última análise, será necessário reescrever o código que forma seus URLs para formar o prefixo HTTPS: //.

A Apple reescreveu a classe NSUrlConnection no iOS 9.0. Você pode ler sobre isso em NSURLConnection .

Caso contrário, talvez você precise sair do iOS 9.0 até ter tempo para implementar a solução correta.