google在android p為了安全起見,已經(jīng)明確規(guī)定禁止http協(xié)議額,但是之前很多接口都是http協(xié)議，我們一般是這樣解決的：
在res目錄下創(chuàng)建xml目錄,然后隨便創(chuàng)建一個(gè).xml文件,里面內(nèi)容如下:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true" />
</network-security-config>

然后在AndroidManifest.xml文件下加上:
android:networkSecurityConfig="@xml/文件名"

<application
    android:testOnly="false"
    android:name=".base.BaseApplication"
    android:allowBackup="true"
    android:configChanges="orientation|keyboardHidden"
    android:networkSecurityConfig="@xml/文件名"
    android:icon="@mipmap/ic_launcher"
    android:label="@string/app_name"
    android:supportsRtl="true"
    android:theme="@style/AppTheme"
    tools:ignore="AllowBackup,GoogleAppIndexingWarning,UnusedAttribute"
    tools:replace="android:icon,android:label,android:theme,android:allowBackup,android:name">

networkSecurityConfig是什么呢

從Nougat（Android 7）一個(gè)名為“Network Security Configuration”的新安全功能也隨之而來。如果應(yīng)用程序的SDK高于或等于24，則只有系統(tǒng)證書才會(huì)被信任。
網(wǎng)絡(luò)安全性配置特性讓應(yīng)用可以在一個(gè)安全的聲明性配置文件中自定義其網(wǎng)絡(luò)安全設(shè)置，而無需修改應(yīng)用代碼。可以針對(duì)特定域和特定應(yīng)用配置這些設(shè)置。此特性的主要功能如下所示：

• 自定義信任錨：針對(duì)應(yīng)用的安全連接自定義哪些證書頒發(fā)機(jī)構(gòu) (CA) 值得信任。例如，信任特定的自簽署證書或限制應(yīng)用信任的公共 CA 集。
• 僅調(diào)試重寫：在應(yīng)用中以安全方式調(diào)試安全連接，而不會(huì)增加已安裝用戶的風(fēng)險(xiǎn)。
• 明文通信選擇退出：防止應(yīng)用意外使用明文通信。
• 證書固定：將應(yīng)用的安全連接限制為特定的證書。

下面分別來看看具體的用法

自定義可信 CA

應(yīng)用可能需要信任自定義的 CA 集，而不是平臺(tái)默認(rèn)值。出現(xiàn)此情況的最常見原因包括：

• 連接到具有自定義證書頒發(fā)機(jī)構(gòu)的主機(jī)，如自簽署或在公司內(nèi)部簽發(fā)的 CA。
• 將 CA 集僅限于您信任的 CA，而不是每個(gè)預(yù)裝 CA。
• 信任系統(tǒng)中未包含的附加 CA。

默認(rèn)情況下，來自所有應(yīng)用的安全連接（使用 TLS 和 HTTPS 之類的協(xié)議）均信任預(yù)裝的系統(tǒng) CA，而面向 Android 6.0（API 級(jí)別 23）及更低版本的應(yīng)用默認(rèn)情況下還會(huì)信任用戶添加的 CA 存儲(chǔ)。應(yīng)用可以使用 base-config（應(yīng)用范圍的自定義）或 domain-config（按域自定義）自定義自己的連接。

配置自定義 CA

假設(shè)您要連接到使用自簽署 SSL 證書的主機(jī)，或者連接到其 SSL 證書是由您信任的非公共 CA（如公司的內(nèi)部 CA）簽發(fā)的主機(jī)。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <domain-config> 
    <domain includeSubdomains="true">example.com</domain>  
    <trust-anchors> 
      <certificates src="@raw/my_ca"/> 
    </trust-anchors> 
  </domain-config> 
</network-security-config>

以 PEM 或 DER 格式將自簽署或非公共 CA 證書添加到 res/raw/my_ca。

限制可信 CA 集

如果應(yīng)用不想信任系統(tǒng)信任的所有 CA，則可以自行指定，縮減要信任的 CA 集。這樣可以防止應(yīng)用信任任何其他 CA 簽發(fā)的欺詐性證書。

限制可信 CA 集的配置與針對(duì)特定域信任自定義 CA 相似，不同的是，前者要在資源中提供多個(gè) CA。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <domain-config> 
    <domain includeSubdomains="true">secure.example.com</domain>  
    <domain includeSubdomains="true">cdn.example.com</domain>  
    <trust-anchors> 
      <certificates src="@raw/trusted_roots"/> 
    </trust-anchors> 
  </domain-config>
</network-security-config>

以 PEM 或 DER 格式將可信 CA 添加到 res/raw/trusted_roots。請(qǐng)注意，如果使用 PEM 格式，文件必須僅包含 PEM 數(shù)據(jù)，且沒有額外的文本。您還可以提供多個(gè) <certificates> 元素，而不是只提供一個(gè)元素。

信任附加 CA

應(yīng)用可能需要信任系統(tǒng)不信任的附加 CA，出現(xiàn)此情況的原因可能是系統(tǒng)還未包含此 CA，或 CA 不符合添加到 Android 系統(tǒng)中的要求。應(yīng)用可以通過為一個(gè)配置指定多個(gè)證書源來實(shí)現(xiàn)此目的。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <base-config> 
    <trust-anchors> 
      <certificates src="@raw/extracas"/>  
      <certificates src="system"/> 
    </trust-anchors> 
  </base-config>
</network-security-config>

配置用于調(diào)試的 CA

調(diào)試通過 HTTPS 連接的應(yīng)用時(shí)，您可能需要連接到?jīng)]有為生產(chǎn)服務(wù)器提供 SSL 證書的本地開發(fā)服務(wù)器。為了支持此操作，而又不對(duì)應(yīng)用的代碼進(jìn)行任何修改，您可以通過使用 debug-overrides 指定僅在 android:debuggable 為 true 時(shí)才可信的僅調(diào)試 CA。通常，IDE 和構(gòu)建工具會(huì)自動(dòng)為非發(fā)布版本設(shè)置此標(biāo)記。

這比一般的條件代碼更安全，因?yàn)槌鲇诎踩紤]，應(yīng)用存儲(chǔ)不接受被標(biāo)記為可調(diào)試的應(yīng)用。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <debug-overrides> 
    <trust-anchors> 
      <certificates src="@raw/debug_cas"/> 
    </trust-anchors> 
  </debug-overrides>
</network-security-config>

選擇退出明文通信

旨在連接到僅使用安全連接的目的地的應(yīng)用可以選擇不再對(duì)這些目的地提供明文（使用解密的 HTTP 協(xié)議而非 HTTPS）支持。此選項(xiàng)有助于防止應(yīng)用因外部源（如后端服務(wù)器）提供的網(wǎng)址發(fā)生變化而意外回歸。請(qǐng)參閱 NetworkSecurityPolicy.isCleartextTrafficPermitted()，了解更多詳情。

例如，應(yīng)用可能需要確保與 secure.example.com 的所有連接始終通過 HTTPS 完成，以防止來自惡意網(wǎng)絡(luò)的敏感流量。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <domain-config cleartextTrafficPermitted="false"> 
    <domain includeSubdomains="true">secure.example.com</domain> 
  </domain-config>
</network-security-config>

固定證書

一般情況下，應(yīng)用信任所有預(yù)裝 CA。如果有預(yù)裝 CA 簽發(fā)欺詐性證書，則應(yīng)用將面臨被中間人攻擊的風(fēng)險(xiǎn)。有些應(yīng)用通過限制信任的 CA 集或通過證書固定來選擇限制其接受的證書集。

通過按公鑰的哈希值（X.509 證書的 SubjectPublicKeyInfo）提供證書集完成證書固定。然后，只有至少包含一個(gè)已固定的公鑰時(shí)，證書鏈才有效。

請(qǐng)注意，使用證書固定時(shí)，您應(yīng)始終包含一個(gè)備份密鑰，這樣，當(dāng)您被強(qiáng)制切換到新密鑰或更改 CA 時(shí)（固定到某個(gè) CA 證書或該 CA 的中間證書時(shí)），您應(yīng)用的連接性不會(huì)受到影響。否則，您必須推送應(yīng)用的更新以恢復(fù)連接性。

此外，可以設(shè)置固定的到期時(shí)間，在該時(shí)間之后不執(zhí)行證書固定。這有助于防止尚未更新的應(yīng)用出現(xiàn)連接性問題。不過，設(shè)置固定的到期時(shí)間可能會(huì)繞過證書固定。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <domain-config> 
    <domain includeSubdomains="true">example.com</domain>  
    <pin-set expiration="2018-01-01"> 
      <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>  
      <!-- backup pin -->  
      <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin> 
    </pin-set> 
  </domain-config>
</network-security-config>

配置繼承行為

將繼承未在特定配置中設(shè)置的值。此行為允許進(jìn)行更復(fù)雜的配置，同時(shí)又能保證配置文件可讀。

如果未在特定條目中設(shè)置值，將使用來自更通用條目中的值。例如，未在 domain-config 中設(shè)置的值將從父級(jí) domain-config（如果已嵌套）或者 base-config（如果未嵌套）中獲取。未在 base-config 中設(shè)置的值將使用平臺(tái)默認(rèn)值。

例如，到 example.com 的子域的所有連接都必須使用自定義 CA 集。此外，允許使用這些域的明文通信，連接到 secure.example.com 時(shí)除外。通過在 example.com 的配置中嵌套 secure.example.com 的配置，不需要重復(fù) trust-anchors。

res/xml/network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <domain-config> 
    <domain includeSubdomains="true">example.com</domain>  
    <trust-anchors> 
      <certificates src="@raw/my_ca"/> 
    </trust-anchors>  
    <domain-config cleartextTrafficPermitted="false"> 
      <domain includeSubdomains="true">secure.example.com</domain> 
    </domain-config> 
  </domain-config>
</network-security-config>

配置文件格式

網(wǎng)絡(luò)安全性配置特性使用 XML 文件格式。文件的整體結(jié)構(gòu)如以下代碼示例所示：

<?xml version="1.0" encoding="utf-8"?>

<network-security-config> 
  <base-config> 
    <trust-anchors> 
      <certificates src="..."/> ...
    </trust-anchors> 
  </base-config>  
  <domain-config> 
    <domain>android.com</domain> ... 
    <trust-anchors> 
      <certificates src="..."/> ...
    </trust-anchors>  
    <pin-set> 
      <pin digest="...">...</pin> ...
    </pin-set> 
  </domain-config> ... 
  <debug-overrides> 
    <trust-anchors> 
      <certificates src="..."/> ...
    </trust-anchors> 
  </debug-overrides>
</network-security-config>

以下部分將介紹語法與文件格式的其他詳細(xì)信息。

<network-security-config>

可以包含：

• 0 或 1 個(gè) <base-config>
• 任意數(shù)量的 <domain-config>
• 0 或 1 個(gè) <debug-overrides>

<base-config>

語法：

<base-config cleartextTrafficPermitted=["true" | "false"]> ...</base-config>
可以包含：

<trust-anchors>

說明：

目的地不在 domain-config 涵蓋范圍內(nèi)的所有連接所使用的默認(rèn)配置。未設(shè)置的任何值均使用平臺(tái)默認(rèn)值。面向 Android 7.0（API 級(jí)別 24）及更高版本應(yīng)用的默認(rèn)配置如下所示：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors> 
       <certificates src="system" />
    </trust-anchors>
</base-config>

面向 Android 6.0（API 級(jí)別 23）及更低版本應(yīng)用的默認(rèn)配置如下所示：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

<domain-config>

語法：
<domain-config cleartextTrafficPermitted=["true" | "false"]> ...</domain-config>
可以包含：

• 1 個(gè)或多個(gè) <domain>
• 0 或 1 個(gè) <trust-anchors>
• 0 或 1 個(gè) <pin-set>
  任意數(shù)量的已嵌套 <domain-config>

說明

用于按照 domain 元素的定義連接到特定目的地的配置。請(qǐng)注意，如果有多個(gè) domain-config 元素涵蓋某個(gè)目的地，將使用匹配域規(guī)則最具體（最長）的配置。

<domain>

語法：
<domain includeSubdomains=["true" | "false"]>example.com</domain>
屬性：
includeSubdomains
如果為 "true"，此域規(guī)則將與域及所有子域（包括子域的子域）匹配。否則，該規(guī)則僅適用于精確匹配項(xiàng)。
說明：

<debug-overrides>

語法：
<debug-overrides> ...</debug-overrides>
可以包含：

• 0 或 1 個(gè) <trust-anchors>

說明：
在 android:debuggable 為 "true" 時(shí)將應(yīng)用的重寫，IDE 和構(gòu)建工具生成的非發(fā)布版本通常屬于此情況。在 debug-overrides 中指定的信任錨將添加到所有其他配置，并且當(dāng)服務(wù)器的證書鏈?zhǔn)褂闷渲幸粋€(gè)僅調(diào)試信任錨時(shí)，將不執(zhí)行證書固定。如果 android:debuggable 為 "false"，將完全忽略此部分。

<trust-anchors>

語法：

<trust-anchors>...</trust-anchors>
可以包含：

• 任意數(shù)量的 <certificates>

說明：
用于安全連接的信任錨集。

<certificates>

語法：

<certificates src=["system" | "user" | "raw resource"] overridePins=["true" | "false"] />
說明：
用于 trust-anchors 元素的 X.509 證書集。
屬性：
指向包含 X.509 證書的文件的原始資源 ID。證書必須以 DER 或 PEM 格式編碼。如果為 PEM 證書，則文件不得包含額外的非 PEM 數(shù)據(jù)，例如注釋。
用于預(yù)裝系統(tǒng) CA 證書的 "system"
用于用戶添加的 CA 證書的 "user"

src

CA 證書的來源。每個(gè)證書可為下列狀態(tài)之一：
overridePins
指定此來源的 CA 是否繞過證書固定。如果為 "true"，則不對(duì)此來源的 CA 簽署的證書鏈執(zhí)行證書固定。這對(duì)于調(diào)試 CA 或測(cè)試對(duì)應(yīng)用的安全流量進(jìn)行中間人攻擊 (MiTM) 非常有用。默認(rèn)值為 "false"，除非在 debug-overrides 元素中另外指定（在這種情況下，默認(rèn)值為 "true"）。

<pin-set>

語法：
<pin-set expiration="date">...</pin-set>
可以包含：

• 任意數(shù)量的 <pin>
  說明：
  一組公鑰固定。對(duì)于要信任的安全連接，信任鏈中必須有一個(gè)公鑰位于固定集中。有關(guān)固定格式，請(qǐng)參閱 <pin>。

屬性：
expiration
采用 yyyy-MM-dd 格式的日期，固定在該日期過期，因而將停用固定。如果未設(shè)置該屬性，則固定不會(huì)過期。設(shè)置到期時(shí)間有助于防止未更新到其固定集（例如，在用戶停用應(yīng)用更新時(shí)）的應(yīng)用出現(xiàn)連接問題。

<pin>

語法：
<pin digest=["SHA-256"]>base64 encoded digest of X.509 SubjectPublicKeyInfo (SPKI)</pin>
屬性：
digest
用于生成固定的摘要算法。目前僅支持 "SHA-256"。