iOS 开发实用技术导航
NSHipster 中文版
› http://nshipster.cn/
cocos2d 开源 2D 游戏引擎
› http://www.cocos2d-iphone.org/
CocoaPods
› http://cocoapods.org/
Google Analytics for Mobile 统计解决方案
› http://code.google.com/mobile/analytics/
WWDC
› https://developer.apple.com/wwdc/
Design Guides and Resources
› https://developer.apple.com/design/
Transcripts of WWDC sessions
› http://asciiwwdc.com
Cocoa with Love
› http://cocoawithlove.com/
Cocoa Dev Central
› http://cocoadevcentral.com/
NSHipster
› http://nshipster.com/
Style Guides
› Google Objective-C Style Guide
› NYTimes Objective-C Style Guide
Useful Tools and Services
› Charles Web Debugging Proxy
› Smore
iOS App 网络请求虽然用 HTTPS,但是像 Charles 专业抓包工具还是可以获取数据的,所以求一种比较合理的方案
stephenliubp · FantasticLBP · 2018-08-14 18:38:50 +08:00 · 6901 次点击这是一个创建于 2072 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
wujichao 2018-08-14 19:52:40 +08:00
中间人攻击, 客户端校验证书可破
|
 |
2
MrMario 2018-08-14 20:03:33 +08:00
证书校验:
客户端预置服务端证书(其实只要一个哈希就可以了) 客户端网络库或者其他基础组件上,加上这个哈希校验,拒绝哈希不一致的请求 注意证书更换升级等(可以考虑多买几张证书) |
 |
3
snail1988 2018-08-14 20:30:08 +08:00
什么目的 防止 用户抓包?还是防止中间第三人抓包
中间人 搜索一个概念 ssl-pinning 防用户没有什么可行手段 |
 |
4
kwest 2018-08-14 21:27:30 +08:00
用 HTTPS 却不去校验证书就是耍流氓。
|
 |
5
junbaor 2018-08-15 10:14:39 +08:00
双向认证了解一下
|
 |
6
stephenliubp OP @snail1988 对,防止抓包,但是我写了 ssl-pinning 的代码测试过还是可以抓包的。
``` Objective-c + (AFSecurityPolicy*)customSecurityPolicy { NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"https12" ofType:@"cer"]; NSData *certData = [NSData dataWithContentsOfFile:cerPath]; AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; securityPolicy.allowInvalidCertificates = NO; securityPolicy.validatesDomainName = YES; securityPolicy.pinnedCertificates = @[certData]; return securityPolicy; } + (void)postUploadWithUrl:(NSString *)urlStr para:(NSDictionary *)para name:(NSString *)name fileData:(NSData *)fileData fileName:(NSString *)fileName fileType:(NSString *)fileType success:(void (^)(id responseObject))success fail:(void (^)(void))fail { AFHTTPSessionManager *manager = [AFHTTPSessionManager manager]; manager.securityPolicy = [AFNetPackage customSecurityPolicy]; [manager POST:urlStr parameters:para constructingBodyWithBlock:^(id<AFMultipartFormData> _Nonnull formData) { [formData appendPartWithFileData:fileData name:name fileName:fileName mimeType:fileType]; } success:^(NSURLSessionDataTask * _Nonnull task, id _Nonnull responseObject) { if (success) { success(responseObject); } } failure:^(NSURLSessionDataTask * _Nonnull task, NSError * _Nonnull error) { if (fail) { fail(); } }]; } ``` |
|
7
stephenliubp OP 数据安全方面给个推荐:Web 端: https://github.com/FantasticLBP/Anti-WebSpider。App 端:ssl 证书双向认证防止 抓包工具抓包;数据 RSA 加密;接口防重放
|
 |
8
AwayEM 2018-08-25 22:49:22 +08:00
双向认证用越狱机也是有办法看到内容的...
|
|
9
stephenliubp OP @AwayEM 数据 RSA 加密了
|
 |
10
Daniate 2018-08-26 20:40:55 +08:00
试试把 NSURLSessionConfiguration 的 connectionProxyDictionary 属性设置成 @{}
|
|
11
stephenliubp OP @Daniate 嗯,早期用这个,后来换成“ ssl 证书双向认证;数据 RSA 加密;接口防重放“。
|
Select Language