La sécurité des transports a bloqué un HTTP en texte clair

Quel paramètre dois-je mettre dans mon info.plistpour activer le mode HTTP selon le message d'erreur suivant?

La sécurité des transports a bloqué une charge de ressources HTTP (http: //) en texte clair car elle n'est pas sécurisée. Les exceptions temporaires peuvent être configurées via le fichier Info.plist de votre application.

Supposons que mon domaine soit example.com.

Si vous utilisez Xcode 8.0+ et Swift 2.2+ ou même Objective C:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Utilisez NSAppTransportSecurity:

Vous devez définir la clé NSAllowsArbitraryLoads sur YES sous le dictionnaire NSAppTransportSecurity dans votre fichier info.plist.

Voici les paramètres visuellement:

Voir le post du forum Application Transport Security? .

Également la page Configuration des exceptions de sécurité du transport d'application dans iOS 9 et OSX 10.11 .

Par exemple, vous pouvez ajouter un domaine spécifique comme:

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>example.com</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
      <true/>
      <!--Include to specify minimum TLS version-->
      <key>NSTemporaryExceptionMinimumTLSVersion</key>
      <string>TLSv1.1</string>
    </dict>
  </dict>
</dict>

L'option paresseuse est:

<key>NSAppTransportSecurity</key>
<dict>
  <!--Include to allow all connections (DANGER)-->
  <key>NSAllowsArbitraryLoads</key>
      <true/>
</dict>

Remarque:

info.plist est un fichier XML afin que vous puissiez placer ce code plus ou moins n'importe où dans le fichier.

Cela a été testé et fonctionnait sur la graine GM d'iOS 9 - c'est la configuration pour permettre à un domaine spécifique d'utiliser HTTP au lieu de HTTPS:

<key>NSAppTransportSecurity</key>
<dict>
      <key>NSAllowsArbitraryLoads</key> 
      <false/>
       <key>NSExceptionDomains</key>
       <dict>
            <key>example.com</key> <!--Include your domain at this line -->
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
                <true/>
                <key>NSTemporaryExceptionMinimumTLSVersion</key>
                <string>TLSv1.1</string>
            </dict>
       </dict>
</dict>

NSAllowsArbitraryLoadsdoit être false, car il interdit toute connexion non sécurisée, mais la liste des exceptions autorise la connexion à certains domaines sans HTTPS.

Voici une solution rapide (mais non recommandée) pour ajouter ceci dans la liste:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Ce qui signifie (selon la documentation d' Apple ):

NSAllowsArbitraryLoads
Valeur booléenne utilisée pour désactiver App Transport Security pour tous les domaines non répertoriés dans le dictionnaire NSExceptionDomains. Les domaines répertoriés utilisent les paramètres spécifiés pour ce domaine.

La valeur par défaut NO requiert le comportement de sécurité de transport d'application par défaut pour toutes les connexions.

Je recommande vraiment les liens:

• Note technique d'Apple
• La session 706 de la WWDC 2015 (Sécurité et vos applications) commence vers 1:50
• WWDC 2015 session 711 (Networking with NSURLSession)
• Article de blog Expédition d'une application avec sécurité de transport d'application

qui m'aident à comprendre les raisons et toutes les implications.

Le XML (dans le fichier Info.plist) ci-dessous:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDE</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
        </dict>
    </dict>
</dict>

interdire les appels arbitraires pour toutes les pages, mais pour PAGE_FOR_WHICH_SETTINGS_YOU_WANT_TO_OVERRIDEpermettra aux connexions d'utiliser le protocole HTTP.

Au XML ci-dessus, vous pouvez ajouter:

<key>NSIncludesSubdomains</key>
<true/>

si vous souhaitez autoriser les connexions non sécurisées pour les sous-domaines de l'adresse spécifiée.

La meilleure approche consiste à bloquer toutes les charges arbitraires (définies sur false) et à ajouter des exceptions pour autoriser uniquement les adresses que nous savons correctes.

Pour les lecteurs intéressés

Mise à jour 2018:

Apple ne recommande pas de désactiver cette option - plus d'informations peuvent être trouvées dans 207 session WWDC 2018 avec plus de détails sur la sécurité

Laisser la réponse originale pour des raisons historiques et la phase de développement

Pour ceux d'entre vous qui veulent plus de contexte sur la raison pour laquelle cela se produit, en plus de savoir comment y remédier, lisez ci-dessous.

Avec l'introduction d'iOS 9, pour améliorer la sécurité des connexions entre une application et les services Web, les connexions sécurisées entre une application et son service Web doivent suivre les meilleures pratiques . Le comportement des meilleures pratiques est appliqué par App Transport Security pour:

• empêcher la divulgation accidentelle, et
• fournir un comportement par défaut qui est sécurisé.

Comme expliqué dans l' App Transport Security Technote , lors de la communication avec votre service Web, App Transport Security a désormais les exigences et le comportement suivants:

• Le serveur doit prendre en charge au moins le protocole TLS (Transport Layer Security) version 1.2.
• Les chiffrements de connexion sont limités à ceux qui fournissent le secret de retransmission (voir la liste des chiffrements ci-dessous.)
• Les certificats doivent être signés à l'aide d'un algorithme de hachage de signature SHA256 ou supérieur, avec une clé RSA de 2048 bits ou supérieure ou une clé ECC (256 bits ou supérieure de courbe elliptique).
• Les certificats non valides entraînent une défaillance matérielle et aucune connexion.

En d'autres termes, votre demande de service Web doit: a.) Utiliser HTTPS et b.) Être cryptée à l'aide de TLS v1.2 avec retransmission.

Cependant, comme cela a été mentionné dans d'autres articles, vous pouvez remplacer ce nouveau comportement depuis App Transport Security en spécifiant le domaine non sécurisé dans le Info.plistde votre application.

Pour remplacer, vous devrez ajouter les NSAppTransportSecurity> NSExceptionDomainspropriétés du dictionnaire à votre Info.plist. Ensuite, vous ajouterez le domaine de votre service Web au NSExceptionDomainsdictionnaire.

Par exemple, si je veux contourner le comportement de sécurité du transport d'application pour un service Web sur l'hôte www.yourwebservicehost.com, je ferais ce qui suit:

1. Ouvrez votre application dans Xcode.

2. Recherchez le Info.plistfichier dans Project Navigator et cliquez avec le bouton droit de la souris dessus et choisissez l' option de menu Ouvrir en tant que > code source . Le fichier de liste de propriétés apparaîtra dans le volet droit.

3. Placez le bloc de propriétés suivant dans le dictionnaire de propriétés principal (sous le premier <dict>).

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.example.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Si vous devez fournir des exceptions pour des domaines supplémentaires, vous devez ajouter une autre propriété de dictionnaire en dessous NSExceptionDomains.

Pour en savoir plus sur les touches référencées ci-dessus, lisez cette note technique déjà mentionnée .

Je n'aime pas éditer directement le plist. Vous pouvez facilement l'ajouter à la liste en utilisant l'interface graphique:

• Cliquez sur Info.plist dans le navigateur à gauche.

• Modifiez maintenant les données dans la zone principale:

  • Sur la dernière ligne, ajoutez le +
  • Entrez le nom du groupe: Paramètres de sécurité du transport d'application
  • Faites un clic droit sur le groupe et sélectionnez Add Row
  • Entrez Autoriser les charges arbitraires
  • Réglez la valeur de droite sur OUI

Il existe deux solutions pour cela:

Solutions 1:

1. Dans le Info.plistfichier, ajoutez un dictionnaire avec la clé ' NSAppTransportSecurity'
2. Ajouter un autre élément dans le dictionnaire avec la clé 'Allow Arbitrary Loads'

Plist la structure doit apparaître comme indiqué dans l'image ci-dessous.

Solution 2:

1. Dans le Info.plistfichier, ajoutez un dictionnaire avec la clé ' NSAppTransportSecurity'
2. Ajouter un autre élément dans le dictionnaire avec la clé ' NSExceptionDomains'
3. Ajouter un élément avec une clé 'MyDomainName.com'de type NSDictionary
4. Ajouter un élément avec la clé ' NSIncludesSubdomains' de type Booleanet de valeur définis commeYES
5. Ajouter un élément avec la clé ' NSTemporaryExceptionAllowsInsecureHTTPLoads' de type Booleanet de valeur définis commeYES

Plist la structure doit apparaître comme indiqué dans l'image ci-dessous.

La solution 2 est préférée car elle autorise uniquement le domaine sélectionné tandis que la solution 1 autorise toutes les connexions HTTP non sécurisées.

La sécurité du transport est disponible sur iOS 9.0 ou version ultérieure. Vous pouvez avoir cet avertissement lorsque vous essayez d'appeler un WS dans votre application:

Application Transport Security a bloqué une charge de ressources HTTP (http: //) en texte clair car elle n'est pas sécurisée. Les exceptions temporaires peuvent être configurées via le fichier Info.plist de votre application.

L'ajout de ce qui suit à votre Info.plist désactivera ATS:

<key>NSAppTransportSecurity</key>
<dict>
     <key>NSAllowsArbitraryLoads</key><true/>
</dict>

Exemple de développement

Voici une capture d'écran d'une liste qui garde ATS intact (= sécurisé), mais permet que les connexions à l' hôte local puissent être établies via HTTP au lieu de HTTPS . Cela fonctionne dans Xcode 7.1.1.

Accédez à votre Info.plist

1. Faites un clic droit sur un espace vide et cliquez sur Ajouter une ligne
2. Écrivez le nom de la clé comme NSAppTransportSecurity, en dessous
3. Sélectionnez les domaines d'exception, ajoutez un nouvel élément à ce
4. Notez votre nom de domaine qui doit être consulté
5. Changez le type de domaine de chaîne en dictionnaire, ajoutez un nouvel élément
6. NSTemporaryExceptionAllowsInsecureHTTPLoads, qui sera un booléen avec une vraie valeur.

Selon Apple, la désactivation générale de l'ATS entraînera le rejet de l'application, sauf si vous avez une bonne raison de le faire. Même dans ce cas, vous devez ajouter des exceptions pour les domaines auxquels vous pouvez accéder en toute sécurité.

Apple a un excellent outil qui vous indique exactement quels paramètres utiliser: dans Terminal, entrez

/usr/bin/nscurl --ats-diagnostics --verbose https://www.example.com/whatever

et nscurl vérifiera si cette demande échoue, puis essayera une variété de paramètres et vous dira exactement lequel passe, et quoi faire. Par exemple, pour une URL tierce que je visite, cette commande m'a dit que ce dictionnaire réussit:

{
    NSExceptionDomains = {
        "www.example.com" = {
            NSExceptionRequiresForwardSecrecy = false;
        };
    };
}

Pour distinguer entre vos propres sites et les sites tiers qui sont hors de votre contrôle, utilisez, par exemple, la clé NSThirdPartyExceptionRequiresForwardSecrecy.

Déterminer quels paramètres utiliser peuvent être effectués automatiquement, comme mentionné dans cette note technique :

/usr/bin/nscurl --ats-diagnostics --verbose https://your-domain.com

REMARQUE: le domaine d'exception dans votre liste doit être en MAJUSCULES.

Exemple: vous avez nommé votre machine "MyAwesomeMacbook" sous Paramètres-> Partage; votre serveur (à des fins de test) fonctionne sur MyAwesomeMacbook.local: 3000 et votre application doit envoyer une demande à http: //MyAwesomeMacbook.local: 3000 / files ..., votre plist vous devrez spécifier "myawesomemacbook. local "comme domaine d'exception.

-

Votre info.plist contiendrait ...

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSExceptionDomains</key>
  <dict>
    <key>myawesomemacbook.local</key>
    <dict>
      <!--Include to allow subdomains-->
      <key>NSIncludesSubdomains</key>
      <true/>
      <!--Include to allow HTTP requests-->
      <key>NSExceptionAllowsInsecureHTTPLoads</key>
      <true/>
    </dict>
  </dict>
</dict>

Utilisation:

Ajoutez un nouvel élément, NSAppTransportSecurity , dans le fichier plist avec le type Dictionary , puis ajoutez le sous-élément NSAllowsArbitraryLoads dans le dictionnaire de type Boolean et définissez la valeur booléenne YES . Cela fonctionne pour moi.

Le 2015-09-25 (après les mises à jour de Xcode le 2015-09-18):

J'ai utilisé une méthode non paresseuse, mais cela n'a pas fonctionné. Les suivants sont mes essais.

Première,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSTemporaryExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSTemporaryExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Et deuxieme,

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>www.xxx.yyy.zzz</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
            <key>NSExceptionMinimumTLSVersion</key>
            <string>TLSv1.1</string>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>

Enfin, j'ai utilisé la méthode paresseuse:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

Cela peut être un peu précaire, mais je n'ai pas pu trouver d'autres solutions.

Dans swift 4 et xocde 10, modifiez NSAllowsArbitraryLoads pour autoriser les charges arbitraires. donc ça va ressembler à ça:

<key>App Transport Security Settings</key>
<dict>
     <key>Allow Arbitrary Loads</key><true/>
</dict>

Il peut être utile de mentionner comment s'y rendre ...

Info.plist est l'un des fichiers sous le Main.storyboard ou viewController.swift.

Lorsque vous cliquez dessus pour la première fois, il est généralement sous forme de tableau, donc cliquez avec le bouton droit sur le fichier et ouvrez-le comme code source, puis ajoutez le code ci-dessous vers la fin, c'est-à-dire:

 <key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict>

Copiez collez le code juste au-dessus

 "</dict>
</plist>"

qui est à la fin.

Mise à jour pour Xcode 7.1, face au problème 27.10.15:

La nouvelle valeur dans Info.plist est "App Transport Security Settings". De là, ce dictionnaire devrait contenir:

• Autoriser les charges arbitraires = OUI
• Domaines d'exception (insérez ici votre domaine http)

Pour ceux qui sont venus ici en essayant de trouver la raison pour laquelle leur WKWebView est toujours blanc et ne charge rien (exactement comme décrit ici, comment puis-je faire fonctionner WKWebView en swift et pour une application macOS ):

Si toute la science des fusées ci-dessus ne fonctionne pas, vérifiez l'évidence: les paramètres du bac à sable

Étant nouveau dans swift et cacao, mais assez expérimenté en programmation, j'ai passé environ 20 heures à trouver cette solution. Aucun des dizaines de tutoriels hipster-iOS ni des notes de présentation Apple - rien ne mentionne cette petite case à cocher.

Par défaut, iOS n'autorise que l'API HTTPS. Étant donné que HTTP n'est pas sécurisé, vous devrez désactiver la sécurité du transport d'application. Il existe deux façons de désactiver ATS: -

1. Ajout du code source dans le projet info.plist et ajoutez le code suivant dans la balise racine.

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

2. Utilisation des informations sur le projet.

Cliquez sur projet dans le projet dans le volet gauche, sélectionnez le projet comme cible et choisissez l'onglet info. Vous devez ajouter le dictionnaire dans la structure suivante.

Comment le réparer?

Ci-dessous les étapes pour le réparer.

L'utilisation NSExceptionDomainspeut ne pas appliquer simultanément un effet car le site cible peut charger des ressources (par exemple des jsfichiers) à partir de domaines externes http. Il peut être résolu en ajoutant également ces domaines externes NSExceptionDomains.

Pour inspecter les ressources qui ne peuvent pas être chargées, essayez d'utiliser le débogage à distance. Voici un tutoriel: http://geeklearning.io/apache-cordova-and-remote-debugging-on-ios/

Pour Cordova, si vous souhaitez l'ajouter dans votre ios.json, procédez comme suit:

"NSAppTransportSecurity": [
   {
      "xml": "<dict><key>NSAllowsArbitraryLoads</key><true /></dict>"
   }
]

Et cela devrait être à l'intérieur de:

"*-Info.plist": {
   "parents": {
   }
}

Comme beaucoup l'ont remarqué, il s'agit d'un problème de fonctionnalité fourni avec iOS 9.0. Ils ont ajouté une chose appelée App Transport Security, et moi aussi j'étais ennuyé quand cela a cassé mes applications.

Vous pouvez le bander avec la clé NSAllowsArbitraryLoads sur YES sous le dictionnaire NSAppTransportSecurity dans votre fichier .plist, mais vous devrez finalement réécrire le code qui forme vos URL pour former le préfixe HTTPS: //.

Apple a réécrit la classe NSUrlConnection dans iOS 9.0. Vous pouvez en lire plus dans NSURLConnection .

Sinon, vous devrez peut-être abandonner iOS 9.0 jusqu'à ce que vous ayez le temps de mettre en œuvre la bonne solution.