【网络安全】-AFNetworking 怎样一步步把http请求

前言

前一阵子AFNetworking 被爆出存在安全性漏洞，中间人攻击(MITMA)便是其中的一种，如果使用青花瓷来抓包的话，青花瓷会让我们安装它自己颁发的根证书，一旦我们选择和信任了这个根证书，我们会发现青花瓷能够顺利的显示整个HTTPS的通讯情况了，对于这种中间人的攻击，我们一般选择SSL Pinning，即将服务器的公钥证书和整个APP打包一起发出，然后在网络请求的时候将服务器发送过来的证书与本地证书进行比较，从而避免中间人攻击的可能性。。针对这件事情官方给出的建议是使用最新版的AFNetworking，并且启用安全连线，不过文档并没有写的很全。刚好最近的项目有针对这一块网络安全的优化，找了很多资料，结合自身的项目记录下，有错误请指正。

正文

• 1.确认有使用安全连线，通俗一点讲就是使用HTTPS

• 2.准备好网站的安全凭证.cer证书；如果你没有.cer证书，只有.crt证书，那么你可以通过以下命令转换，它采用的是DER编码格式（请把myWebsite 替换成你自己的名字）：
  openssl x509 -in myWebsite.crt -out myWebsite.cer -outform der

  如果.crt的证书都没有的话，那么你可以使用以下openssl命令来获取到服务器公开的二进制证书請自行將 www.mywebsite.com 替換成你們的網址）

openssl s_client -connect www.mywebsite.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer

冒号中的命令为主要的部分，该命令会在当前的路径下，形成mywebsite.com站点的公开二进制证书，命名为https.cer。您可以将www.mywebsite.com 替换成您自己的站点以此来获取您自己站点的https.cer

• 3.将证书放入Xcode项目工程中
  [站外图片上传中……(1)]
  如上图所示，将我们的https.cer拖到我们的工程Supporting Files中，把 Copy Items if needed 的勾选上。然后把您的Add to targets 选上，点击确定。就完成了证书的导入工作。

• 4.调用权威机构颁发证书的HTTPS接口（一般项目中用的都是正规的CA颁发的证书）对于这种证书，我们只需要设置验证绑定方式和验证域名以防止中间人攻击，毕竟这个证书是花钱买的，省事一点。

• 步骤1

<key>NSAppTransportSecurity</key>
<dict>
        <key>NSAllowsArbitraryLoads</key>
        <true/>
<dict>

• 步骤2

 AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
    policy.validatesDomainName = YES;//是否校验在证书中的domain这一个字段，每个证书都会包含一个DomainName, 它可以是一个IP地址，一个域名或者一端带有通配符的域名
policy.allowInvalidCertificates = NO;//客户端是否信任非法证书
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;
    manager.requestSerializer.cachePolicy =NSURLRequestReloadIgnoringLocalCacheData;

关于 AFSecurityPolicy参数的说明

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) { 
AFSSLPinningModeNone,//客户端无条件滴信任服务器返回的证书
 AFSSLPinningModePublicKey,//客户端将服务器返回的证书与本地证书PublicKey的部分进行校验
 AFSSLPinningModeCertificate,//客户端将服务器返回的证书与本地证书所有的内容全部进行校验
};

• 5.调用我们自己签名证书的HTTPS接口
  这个就相对麻烦一点了，因为不是CA颁发的证书，浏览器打开Web站点会默认阻止访问，除非用户手动把该站点加入信任列表，不去验证服务器的合法性。但是这样做的话，虽然可以成功的返回我们需要的数据，但是这中间很有可能返回不是真正的目标服务器的数据，中间存在篡改的可能性。

下面来看下用青花瓷抓包的HTTPS传输的数据，可以明显的看到明文数据，这就回到了我们最初的一个问题。那么这个时候我们应该怎么做呢？

Snip20161011_2.png

• 步骤1
  自己签名的证书HTTPS是不被APP信任的我们需要在info.plist手动设置，而不是Allow Arbitrary Loads全部开放

<key>NSAppTransportSecurity</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            <key>edms.fcbox.com</key>
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>

• 步骤2

NSString *certFilePath = [[NSBundle mainBundle] pathForResource:@"edms.fcbox.com" ofType:@"der"];
    NSData *certData = [NSData dataWithContentsOfFile:certFilePath];
    NSSet *certSet = [NSSet setWithObject:certData];
    AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:certSet];
    policy.allowInvalidCertificates = YES;
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;
    //关闭缓存避免干扰测试
    manager.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData;

加入上面的代码，一旦用户给手机网络设置了使用如青花瓷的代理服务，就会出现 服务器证书验证失败，SSL网络就会断开，boss再也不用担心数据被代理拔出来了~

不信来试试，这个时候使用青花瓷来抓包的话，会出现下面信息，
Xcode调试终端出错的信息图

代理服务器青花瓷那边的出错信息

Snip20161011_3.png