苹果规定所有提交的应用必须启用App Transport Security。配置方法是在应用的plist文件中添加ATS设置,确保网络请求符合安全标准,仅允许通过HTTPS等加密方式传输数据。
1、 通过 NSExceptionDomains 配置非 HTTPS 域名时,除主域名外,还需将网站中引用的所有非 HTTPS 资源域名一并列入,片、视频等外部链接地址,确保各类资源均可正常访问。
2、 启用 NSAllowsArbitraryLoadsInWebContent 可绕过 UIWebView 或 WKWebView 对安全内容的校验,允许加载非 HTTPS 加密资源。此举虽提升灵活性,但可能导致数据在传输过程中被窃取或篡改,存在较大安全隐患。开发者应充分评估安全风险,谨慎使用,并确保敏感信息不通过不安全连接传输,以降低潜在威胁。
3、 启用 NSAllowsArbitraryLoads 会导致应用内所有网络请求跳过安全验证,无法强制使用 HTTPS 加密,可能造成数据泄露或中间人攻击等安全隐患。苹果官方不建议使用该配置,审核时通常不予通过,除非提供充分的合理说明。开发者需谨慎评估其安全影响,权衡便利与风险,确保用户数据传输的安全性,避免因配置不当引发隐私问题或应用被拒。
