Google Play 发布前报告安全漏洞,表明所有域都允许明文流量
Google Play Pre-launch Reports Security Vulnerability Which Says Cleartext traffic allowed for all domains
Google Play 发布前报告安全漏洞
您应用的网络安全配置允许所有域的明文流量。这可能允许窃听者拦截您的应用程序发送的数据。如果该数据是敏感的或用户可识别的,它可能会影响用户的隐私。
考虑通过设置 cleartextTrafficPermitted flag to false, or adding an encrypted policy for specific domains. Learn more
只允许加密流量
network_security_config.xml
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">127.0.0.1</domain>
</domain-config>
</network-security-config>
AndroidManifest.xml
<application
android:name="com.example.MyActivity"
android:allowBackup="false"
tools:replace="allowBackup"
android:icon="@drawable/ic_launcher"
android:label="@string/app_name"
android:largeHeap="true"
android:theme="@style/AppTheme"
android:hardwareAccelerated="true"
android:resizeableActivity="false"
android:networkSecurityConfig="@xml/network_security_config">
我怀疑我是否将自己的域名域配置为 cleartextTrafficPermitted="true" 例如
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">http://my-domain.com</domain>
</domain-config>
- 它是否清除了我的安全漏洞问题?
- 我需要知道我是否需要为我的第三方广告设置域配置
网络?
下面配置清除Google打安全漏洞
注:
- 我们在 android pie
中只使用了 https url
- 要在 android 派中使用 http,我们需要包含
domain-config
中的域名
<base-config cleartextTrafficPermitted="false">
<trust-anchors>
<certificates src="system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">myowndomain.com</domain>
</domain-config>
您必须在 AndroidManifes.xml 文件中的应用程序标签上添加 android:usesCleartextTraffic="true" 属性。
还要加上这个。
<uses-library android:name="org.apache.http.legacy" android:required="false"/>
Google Play 发布前报告安全漏洞
您应用的网络安全配置允许所有域的明文流量。这可能允许窃听者拦截您的应用程序发送的数据。如果该数据是敏感的或用户可识别的,它可能会影响用户的隐私。
考虑通过设置 cleartextTrafficPermitted flag to false, or adding an encrypted policy for specific domains. Learn more
只允许加密流量network_security_config.xml
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">127.0.0.1</domain>
</domain-config>
</network-security-config>
AndroidManifest.xml
<application
android:name="com.example.MyActivity"
android:allowBackup="false"
tools:replace="allowBackup"
android:icon="@drawable/ic_launcher"
android:label="@string/app_name"
android:largeHeap="true"
android:theme="@style/AppTheme"
android:hardwareAccelerated="true"
android:resizeableActivity="false"
android:networkSecurityConfig="@xml/network_security_config">
我怀疑我是否将自己的域名域配置为 cleartextTrafficPermitted="true" 例如
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">http://my-domain.com</domain>
</domain-config>
- 它是否清除了我的安全漏洞问题?
- 我需要知道我是否需要为我的第三方广告设置域配置 网络?
下面配置清除Google打安全漏洞
注:
- 我们在 android pie 中只使用了 https url
- 要在 android 派中使用 http,我们需要包含 domain-config 中的域名
<base-config cleartextTrafficPermitted="false">
<trust-anchors>
<certificates src="system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">myowndomain.com</domain>
</domain-config>
您必须在 AndroidManifes.xml 文件中的应用程序标签上添加 android:usesCleartextTraffic="true" 属性。
还要加上这个。
<uses-library android:name="org.apache.http.legacy" android:required="false"/>