Android 8:不允许Cleartext HTTP流量

我收到Android 8用户的报告，我的应用程序（使用后端提要）不显示内容。经过调查，我发现Android 8上发生了以下异常：

08-29 12:03:11.246 11285-11285/ E/: [12:03:11.245, main]: Exception: IOException java.io.IOException: Cleartext HTTP traffic to * not permitted
at com.android.okhttp.HttpHandler$CleartextURLFilter.checkURLPermitted(HttpHandler.java:115)
at com.android.okhttp.internal.huc.HttpURLConnectionImpl.execute(HttpURLConnectionImpl.java:458)
at com.android.okhttp.internal.huc.HttpURLConnectionImpl.connect(HttpURLConnectionImpl.java:127)
at com.deiw.android.generic.tasks.AbstractHttpAsyncTask.doConnection(AbstractHttpAsyncTask.java:207)
at com.deiw.android.generic.tasks.AbstractHttpAsyncTask.extendedDoInBackground(AbstractHttpAsyncTask.java:102)
at com.deiw.android.generic.tasks.AbstractAsyncTask.doInBackground(AbstractAsyncTask.java:88)
at android.os.AsyncTask$2.call(AsyncTask.java:333)
at java.util.concurrent.FutureTask.run(FutureTask.java:266)
at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:245)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1162)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:636)
at java.lang.Thread.run(Thread.java:764)

（我删除了包名、URL和其他可能的标识符）

在Android 7和更低版本上，一切都正常，我没有在Manifest中设置Android:usesCleartextTraffic（并且将其设置为true没有帮助，这是默认值），也没有使用网络安全信息。如果我调用NetworkSecurityPolicy.getInstance（）.isCleartextTrafficPermitted（），它将使用相同的apk文件，为Android 8返回false，为旧版本返回true。我试图在谷歌关于Android O的信息中找到一些关于这一点的信息，但没有成功。

当前回答

将以下内容放入资源/android/xml/network_security_config.xml中：

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true" />
</network-security-config>

这解决了Android for Cordova/Ionic上加载资源失败：net:：ERR_CLEARTEXT_NOT_PERMITTED问题。

2020-06-17 08:44:42

其他回答

创建文件-res/xml/network_security.xml

在network_security.xml->中

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">192.168.0.101</domain>
    </domain-config>
</network-security-config>

打开AndroidManifests.xml：

 android:usesCleartextTraffic="true" //Add this line in your manifests

<application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:usesCleartextTraffic="true"
        android:theme="@style/AppTheme">

2019-10-23 15:34:24

您可能只想在调试时允许明文，但要保留在生产中拒绝明文的安全优势。这对我很有用，因为我在不支持https的开发服务器上测试我的应用程序。以下是如何在生产中强制https，但在调试模式下允许明文：

在build.gradle中：

// Put this in your buildtypes debug section:
manifestPlaceholders = [usesCleartextTraffic:"true"]

// Put this in your buildtypes release section
manifestPlaceholders = [usesCleartextTraffic:"false"]

在AndroidManifest.xml中的应用程序标记中

android:usesCleartextTraffic="${usesCleartextTraffic}"

2018-12-11 21:47:17

正在添加。。。android:usesCleartextTraffic=“true”…添加到您的清单文件可能会解决问题，但会对数据完整性造成威胁。

出于安全原因，我在清单文件中使用了android:usesCleartextTraffic的清单占位符（如接受答案的选项3，即@Hrishikesh-Kadam的响应），以仅允许调试环境中的明文。

在build.gradle（：app）文件中，我添加了一个清单占位符，如下所示：

    buildTypes {
        release {
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
        }

        debug {
            manifestPlaceholders.cleartextTrafficPermitted ="true"
        }
    }

注意上面这行的占位符名称cleartextTrafficPermitted

            manifestPlaceholders.cleartextTrafficPermitted ="true"

然后在我的Android清单中，我使用了相同的占位符。。。

AndroidManifest.xml-

<?xml version="1.0" encoding="utf-8"?>
<manifest ...>
    <uses-permission android:name="android.permission.INTERNET" />
    <application
        ...
        android:usesCleartextTraffic="${cleartextTrafficPermitted}"
        ...>
        ...
    </application>
</manifest>

这样，只有在调试环境下才允许明文通信。

2020-05-23 17:31:35

出于安全原因，您应该尽可能使用HTTPS（HTTP安全）。你可以在这里阅读更多

根据您的情况，此问题有多种解决方案。

如果您试图与第一方服务通信，IE：您自己的web服务器

服务器端：您应该向该服务器添加HTTPS支持，并使用HTTPS而不是HTTP。如今，您甚至可以使用LetsEncrypt等服务免费进行加密客户端：如果您使用的是java.net包中的HttpURLConnection，则可以切换到java.net.ssl包的HttpsURLConnection，它有一个类似的API（如果不是完全相同的话），因此切换应该很容易。

如果您正在使用第三方服务，如谷歌、Facebook、天气服务等。

如果您正在与之通信的服务支持HTTPS（它很可能支持HTTPS），您只需从http://abc.xyz到https://abc.xyz.

作为最后的手段，如果您要与之通信的第三方服务不支持HTTPS或任何其他形式的安全通信，您可以使用此答案，但同样，不建议这样做，因为它破坏了这一急需的安全功能的目的。

2019-12-22 15:57:24

要将这些不同的答案应用于Xamarin.Android，您可以使用类和汇编级属性，而不是手动编辑AndroidManifest.xml

当然需要互联网许可（duh…）：

[assembly: UsesPermission(Android.Manifest.Permission.Internet)]

注意：通常，程序集级属性会添加到AssemblyInfo.cs文件中，但using下面和命名空间上面的任何文件都有效。

然后，在应用程序子类上（如果需要，创建一个），可以添加引用Resources/xml/ZZZZZ.xml文件的NetworkSecurityConfig：

#if DEBUG
[Application(AllowBackup = false, Debuggable = true, NetworkSecurityConfig = "@xml/network_security_config")]
#else
[Application(AllowBackup = true, Debuggable = false, NetworkSecurityConfig = "@xml/network_security_config"))]
#endif
public class App : Application
{
    public App(IntPtr javaReference, Android.Runtime.JniHandleOwnership transfer) : base(javaReference, transfer) { }
    public App() { }

    public override void OnCreate()
    {
        base.OnCreate();
    }
}

在Resources/xml文件夹中创建一个文件（如果需要，创建xml文件夹）。

示例xml/network_security_config文件，根据需要进行调整（请参阅其他答案）

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
          <domain includeSubdomains="true">www.example.com</domain>
          <domain includeSubdomains="true">notsecure.com</domain>
          <domain includeSubdomains="false">xxx.xxx.xxx</domain>
    </domain-config>
</network-security-config>

还可以在ApplicationAttribute上使用UsesCleartextTraffic参数：

#if DEBUG
[Application(AllowBackup = false, Debuggable = true, UsesCleartextTraffic = true)]
#else
[Application(AllowBackup = true, Debuggable = false, UsesCleartextTraffic = true))]
#endif

2019-05-06 00:13:39

Android 8:不允许Cleartext HTTP流量

推荐文章

最新文章

标签