iOS9把所有的http请求都改为https了：iOS9系统发送的网络请求将统一使用TLS 1.2 SSL。采用TLS 1.2 协议，目的是 强制增强数据访问安全，而且 系统 Foundation 框架下的相关网络请求，将不再默认使用 Http 等不安全的网络协议，而默认采用 TLS 1.2。服务器因此需要更新，以解析相关数据。如不更新，可通过在 Info.plist 中声明，倒退回不安全的网络请求。

打个比方：如果原来的 HTTP 是塑料水管，容易被戳破；那么如今新设计的 HTTPS 就像是在原有的塑料水管之外，再包一层金属水管。一来，原有的塑料水管照样运行；二来，用金属加固了之后，不容易被戳破。

目前，应用最广泛的是TLS 1.0，接下来是SSL 3.0。但是，主流浏览器都已经实现了TLS 1.2的支持。

Apple让你的HTTP采用SSL/TLS协议，就是让你从HTTP转到HTTPS

不使用SSL/TLS的HTTP通信，就是不加密的通信！

所有信息明文传播，带来了三大风险：

1. 窃听风险（eavesdropping）：第三方可以获知通信内容。

2. 篡改风险（tampering）：第三方可以修改通信内容。

3. 冒充风险（pretending）：第三方可以冒充他人身份参与通信。

SSL/TLS协议是为了解决这三大风险而设计的，希望达到：

1. 所有信息都是加密传播，第三方无法窃听。

2. 具有校验机制，一旦被篡改，通信双方会立刻发现。

3. 配备身份证书，防止身份被冒充。

TLS 1.2 协议 强制增强数据访问安全 系统 Foundation 框架下的相关网络请求，将不再默认使用 Http 等不安全的网络协议，而默认采用 TLS 1.2。服务器因此需要更新，以解析相关数据。如不更新，可通过在 Info.plist 中声明，倒退回不安全的网络请求。

方案一：立即让公司的服务端升级使用TLS 1.2

方案二：虽Apple不建议，但可通过在 Info.plist 中声明，倒退回不安全的网络请求依然能让App访问指定http，甚至任意的http，

具体做法见gif图，示例Demo见 Demo1

正如 Apple官方文档 所说 :

Info.plist 配置中的XML源码如下所示:

If your application (a third-party web browser, for instance) needs to connect to arbitrary hosts, you can configure it like this:

声明：目前Apple的官方文档并未提及如何在 Info.plist 配置，我将密切关注官方文档，如有提及，再来更新本文 .

ios中http 和https 协议的访问

最近做个项目，开始采用的是HTTP协议实现客户端和服务器端的交互，后来需要改成HTTPS协议。在修改的过程中发现了一些问题，解决方案如下：

HTTP：

NSString *urlString =[NSString stringWithFormat:@”https://127.0.0.1/default.aspx?USER=%@”,@”111″];

NSMutableURLRequest *request = [[[NSMutableURLRequest alloc] init] autorelease];

[request setURL:[NSURL URLWithString:urlString]];

[request setHTTPMethod:@”GET”];

NSHTTPURLResponse* urlResponse = nil;

NSError *error = [[NSError alloc] init];

NSData *responseData = [NSURLConnection sendSynchronousRequest:request returningResponse:&urlResponse error:&error];

NSMutableString *result = [[NSMutableString alloc] initWithData:responseData encoding:NSUTF8StringEncoding];

NSLog(@”The result string is :%@”,result);

HTTPS

事件触发

{

NSString *urlString =[NSString stringWithFormat:@”https://127.0.0.1/default.aspx?USER=%@”,@”111″];

NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:[NSURL URLWithString:urlString]        cachePolicy:NSURLRequestReloadIgnoringLocalCacheData timeoutInterval:5];

//设置请求方式为get

[request setHTTPMethod:@”GET”];

//添加用户会话id

[request addValue:@”text/html” forHTTPHeaderField:@”Content-Type”];

//连接发送请求

finished = false;

NSURLConnection *conn = [[NSURLConnection alloc] initWithRequest:request delegate:self];

//堵塞线程，等待结束

while(!finished) {

[[NSRunLoop currentRunLoop] runMode:NSDefaultRunLoopMode beforeDate:[NSDate distantFuture]];

}

}

– (void)connection:(NSURLConnection *)connection didReceiveResponse:(NSURLResponse*)response

{}

– (void)connectionDidFinishLoading:(NSURLConnection *)connection

{

//[_waitingDialog dismissWithClickedButtonIndex:0 animated:NO];

[connection release];

}

-(void)connection:(NSURLConnection *)connection didFailWithError:(NSError *)error

{

}

– (BOOL)connectionShouldUseCredentialStorage:(NSURLConnection *)connection{

return NO;

}

//下面两段是重点，要服务器端单项HTTPS 验证，iOS 客户端忽略证书验证。

– (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace {

return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];

}

– (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {

NSLog(@”didReceiveAuthenticationChallenge %@ %zd”, [[challenge protectionSpace] authenticationMethod], (ssize_t) [challenge previousFailureCount]);

if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]){

[[challenge sender]  useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];

[[challenge sender]  continueWithoutCredentialForAuthenticationChallenge: challenge];

}

}

NSLog(@”get the whole response”);

//[receivedData setLength:0];

}

//处理数据

– (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data

{

}

如何打造一个安全的App？这是每一个移动开发者必须面对的问题。在移动App开发领域，开发工程师对于安全方面的考虑普遍比较欠缺，而由于iOS平台的封闭性，遭遇到的安全问题相比于Android来说要少得多，这就导致了许多iOS开发人员对于安全性方面没有太多的深入，但对于一个合格的软件开发者来说，安全知识是必备知识之一。

对于未越狱的iOS设备来说，由于强大的沙箱和授权机制，以及Apple自己掌控的App Store， 基本上杜绝了恶意软件的入侵。但除系统安全之外，我们还是面临很多的安全问题：网络安全、数据安全等，每一项涉及也非常广，安全是非常大的课题，本人并非专业的安全专家，只是从开发者的角度，分析我们常遇到的各项安全问题，并提出通常的解决方法，与各位交流。

每一个软件工程师都有义务保护用户数据的隐私和安全。

首先是网络安全，OSI模型各层都会面临相应的网络安全问题，涉及宽广，而网络安全也是安全领域发展最为繁荣的领域。本文我们只是从移动应用开发角度，以尽量简单的方式，讲解HTTPS核心概念知识，以及在iOS平台上的实现。建议现在还在使用HTTP的应用都升级到HTTPS。

引读：互联网全站HTTPS的时代已经到来

1. HTTPS

其实HTTPS从最终的数据解析的角度，与HTTP没有任何的区别，HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后，在TCP/IP层组成IP数据报去传输，以此保证传输数据的安全；而对于接收端，在SSL/TSL将接收的数据包解密之后，将数据传给HTTP协议层，就是普通的HTTP数据。HTTP和SSL/TSL都处于OSI模型的应用层。从HTTP切换到HTTPS是一个非常简单的过程，在做具体的切换操作之前，我们需要了解几个概念：