Google Play перед запуском сообщает об уязвимости безопасности, которая говорит, что трафик в открытом виде разрешен для всех доменов
Предварительный запуск Google Play сообщает об уязвимости системы безопасности, в которой говорится, что
Конфигурация сетевой безопасности вашего приложения разрешает трафик открытого текста для всех доменов. Это может позволить злоумышленникам перехватывать данные, отправленные вашим приложением. Если эти данные являются конфиденциальными или идентифицируемыми пользователем, это может повлиять на конфиденциальность ваших пользователей.
Рассмотрите возможность разрешения только зашифрованного трафика, установив для флага открытый текстTrafficPermitted значение false или добавив политику шифрования для определенных доменов. Узнать больше
network_security_config.xml
<?xml version = "1.0" encoding = "utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted = "true">
<trust-anchors>
<certificates src = "system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted = "true">
<domain includeSubdomains = "true">127.0.0.1</domain>
</domain-config>
</network-security-config>
AndroidManifest.xml
<application
android:name = "com.example.MyActivity"
android:allowBackup = "false"
tools:replace = "allowBackup"
android:icon = "@drawable/ic_launcher"
android:label = "@string/app_name"
android:largeHeap = "true"
android:theme = "@style/AppTheme"
android:hardwareAccelerated = "true"
android:resizeableActivity = "false"
android:networkSecurityConfig = "@xml/network_security_config">
Я сомневаюсь, что я дам свое собственное доменное имя domain-config, например, как cleartextTrafficPermitted="true"
<domain-config cleartextTrafficPermitted = "true">
<domain includeSubdomains = "true">http://my-domain.com</domain>
</domain-config>
- Устраняет ли это мою проблему с уязвимостью системы безопасности?
- Мне нужно знать, нужно ли мне установить конфигурацию домена для моих сторонних объявлений сети?
Ответы 2
Ниже конфигурация устраняет уязвимость безопасности Google Play.
Примечание:
- мы используем только URL-адреса https в пироге Android
- Чтобы использовать http в Android Pie, нам нужно включить доменное имя в domain-config
<base-config cleartextTrafficPermitted = "false">
<trust-anchors>
<certificates src = "system"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted = "true">
<domain includeSubdomains = "true">myowndomain.com</domain>
</domain-config>
Вы должны добавить атрибут android:usesCleartextTraffic="true" в тег приложения в файле AndroidManifes.xml.
И еще добавить это.
<uses-library android:name = "org.apache.http.legacy" android:required = "false"/>
Это должен быть комментарий, а не ответ.
Проверьте мой ответ stackoverflow.com/questions/54414287/…