您的当前位置:首页正文

【网络安全】-AFNetworking 怎样一步步把http请求

来源:图艺博知识网

前言

正文

  • 1.确认有使用安全连线,通俗一点讲就是使用HTTPS

  • 2.准备好网站的安全凭证.cer证书;如果你没有.cer证书,只有.crt证书,那么你可以通过以下命令转换,它采用的是DER编码格式(请把myWebsite 替换成你自己的名字):
    openssl x509 -in myWebsite.crt -out myWebsite.cer -outform der

openssl s_client -connect  </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer

  • 4.调用权威机构颁发证书的HTTPS接口(一般项目中用的都是正规的CA颁发的证书)对于这种证书,我们只需要设置验证绑定方式和验证域名以防止中间人攻击,毕竟这个证书是花钱买的,省事一点。

  • 步骤1

<key>NSAppTransportSecurity</key>
<dict>
        <key>NSAllowsArbitraryLoads</key>
        <true/>
<dict>
  • 步骤2
 AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
    policy.validatesDomainName = YES;//是否校验在证书中的domain这一个字段,每个证书都会包含一个DomainName, 它可以是一个IP地址,一个域名或者一端带有通配符的域名
policy.allowInvalidCertificates = NO;//客户端是否信任非法证书
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;
    manager.requestSerializer.cachePolicy =NSURLRequestReloadIgnoringLocalCacheData;

关于 AFSecurityPolicy参数的说明

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) { 
AFSSLPinningModeNone,//客户端无条件滴信任服务器返回的证书
 AFSSLPinningModePublicKey,//客户端将服务器返回的证书与本地证书PublicKey的部分进行校验
 AFSSLPinningModeCertificate,//客户端将服务器返回的证书与本地证书所有的内容全部进行校验
};
  • 5.调用我们自己签名证书的HTTPS接口
    这个就相对麻烦一点了,因为不是CA颁发的证书,浏览器打开Web站点会默认阻止访问,除非用户手动把该站点加入信任列表,不去验证服务器的合法性。但是这样做的话,虽然可以成功的返回我们需要的数据,但是这中间很有可能返回不是真正的目标服务器的数据,中间存在篡改的可能性。

下面来看下用青花瓷抓包的HTTPS传输的数据,可以明显的看到明文数据,这就回到了我们最初的一个问题。那么这个时候我们应该怎么做呢?

Snip20161011_2.png
  • 步骤1
    自己签名的证书HTTPS是不被APP信任的我们需要在info.plist手动设置,而不是Allow Arbitrary Loads全部开放
<key>NSAppTransportSecurity</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>
  • 步骤2
NSString *certFilePath = [[NSBundle mainBundle]  ofType:@"der"];
    NSData *certData = [NSData dataWithContentsOfFile:certFilePath];
    NSSet *certSet = [NSSet setWithObject:certData];
    AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:certSet];
    policy.allowInvalidCertificates = YES;
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;
    //关闭缓存避免干扰测试
    manager.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData;

加入上面的代码,一旦用户给手机网络设置了使用如青花瓷的代理服务,就会出现 服务器证书验证失败,SSL网络就会断开,boss再也不用担心数据被代理拔出来了~

不信来试试,这个时候使用青花瓷来抓包的话,会出现下面信息,
Xcode调试终端出错的信息图



代理服务器青花瓷那边的出错信息

Snip20161011_3.png

Copyright © 2019- huatuoyibo.net 版权所有
湘ICP备2023021910号-2

Top