Android 的 WebView 是否支持 HSTS?

Does Android's WebView support HSTS?

AndroidWebView 是否支持 HSTS?

是的,第二个这个网站:http://caniuse.com/#search=hsts 自 android 4.4

主要变化:

证书固定

受信任的 CA

将 CA 添加到调试

限制 CA

添加 CA 的层次结构...

但最重要的事情将在新的 android N 上启用 res/xml/network_security_config.xml,如下所示: https://koz.io/network-security-policy-configuration-for-android-apps/

<domain-config hstsEnforced=[True|False] cleartextTrafficPermitted=[True|False]>  
   <domain includeSubdomains=[True|False]>koz.io</domain>
   <pin-set expiration="exp-date">
     <pin digest=sha256>PaJOmDNhWkVBvuXfzqXMyfo7kgtGpcyZp6L8EqvM8Ck=</pin>
</pin-set>

这是来自 google 的官方文档:https://developer.android.com/training/articles/security-config.html