Android 8:不允许Cleartext HTTP流量

我收到Android 8用户的报告，我的应用程序（使用后端提要）不显示内容。经过调查，我发现Android 8上发生了以下异常：

08-29 12:03:11.246 11285-11285/ E/: [12:03:11.245, main]: Exception: IOException java.io.IOException: Cleartext HTTP traffic to * not permitted
at com.android.okhttp.HttpHandler$CleartextURLFilter.checkURLPermitted(HttpHandler.java:115)
at com.android.okhttp.internal.huc.HttpURLConnectionImpl.execute(HttpURLConnectionImpl.java:458)
at com.android.okhttp.internal.huc.HttpURLConnectionImpl.connect(HttpURLConnectionImpl.java:127)
at com.deiw.android.generic.tasks.AbstractHttpAsyncTask.doConnection(AbstractHttpAsyncTask.java:207)
at com.deiw.android.generic.tasks.AbstractHttpAsyncTask.extendedDoInBackground(AbstractHttpAsyncTask.java:102)
at com.deiw.android.generic.tasks.AbstractAsyncTask.doInBackground(AbstractAsyncTask.java:88)
at android.os.AsyncTask$2.call(AsyncTask.java:333)
at java.util.concurrent.FutureTask.run(FutureTask.java:266)
at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:245)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1162)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:636)
at java.lang.Thread.run(Thread.java:764)

（我删除了包名、URL和其他可能的标识符）

在Android 7和更低版本上，一切都正常，我没有在Manifest中设置Android:usesCleartextTraffic（并且将其设置为true没有帮助，这是默认值），也没有使用网络安全信息。如果我调用NetworkSecurityPolicy.getInstance（）.isCleartextTrafficPermitted（），它将使用相同的apk文件，为Android 8返回false，为旧版本返回true。我试图在谷歌关于Android O的信息中找到一些关于这一点的信息，但没有成功。

当前回答

我使用Cordova 8和Cordova插件白名单1.3.4它默认配置我的应用程序无法访问互联网，我只在manifest.xml->android:usesCleartextTraffic=“true”中添加一个参数

在Cordova 8中，mainfest的路径发生了变化：platform/android/app/src/main/AndroidManifest.xml。

 <?xml version='1.0' encoding='utf-8'?>
    <manifest android:hardwareAccelerated="true" android:versionCode="10000" android:versionName="1.0.0" package="io.cordova.hellocordova" xmlns:android="http://schemas.android.com/apk/res/android">
        <supports-screens android:anyDensity="true" android:largeScreens="true" android:normalScreens="true" android:resizeable="true" android:smallScreens="true" android:xlargeScreens="true" />
        <application 
android:hardwareAccelerated="true" 
android:icon="@mipmap/ic_launcher" 
android:label="@string/app_name" 
android:supportsRtl="true" 
android:usesCleartextTraffic="true">
            <activity android:configChanges="orientation|keyboardHidden|keyboard|screenSize|locale|smallestScreenSize|screenLayout|uiMode" android:label="@string/activity_name" android:launchMode="singleTop" android:name="MainActivity" android:theme="@android:style/Theme.DeviceDefault.NoActionBar" android:windowSoftInputMode="adjustResize">
                <intent-filter android:label="@string/launcher_name">
                    <action android:name="android.intent.action.MAIN" />
                    <category android:name="android.intent.category.LAUNCHER" />
                </intent-filter>
            </activity>
        </application>
        <uses-permission android:name="android.permission.INTERNET" />
        <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    </manifest>

这真的很愚蠢，因为很明显你的应用程序需要访问互联网。。。。

2020-05-17 04:29:40

其他回答

好吧，我已经想通了。这是由于我添加了Manifest参数android:targetSandboxVersion=“2”，因为我们也有即时应用程序版本-它应该确保用户从即时应用程序升级到常规应用程序后，不会在传输过程中丢失数据。然而，模糊的描述表明：

指定此应用程序要使用的目标沙盒。更高的sanbox版本将具有更高的安全级别。此属性的默认值为1。

显然，它还增加了新级别的安全策略，至少在Android 8上如此。

2017-08-30 08:15:24

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">***Your URL(ex: 127.0.0.1)***</domain>
    </domain-config>
</network-security-config>

在上面提供的建议中，我提供的URL为http://xyz.abc.com/mno/

我把它改成xyz.abc.com，然后它开始工作。

2018-09-16 13:59:21

我建议同时添加开发和生产网络配置：

添加res/xml/network_security_config_dev.xml

<?xml version="1.0" encoding="utf-8"?>
 <network-security-config>
    <domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="true">10.0.2.2</domain>
 </domain-config>
</network-security-config>

地址/xml/network_security_config_prod.xml

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
  <domain-config cleartextTrafficPermitted="false">
    <domain includeSubdomains="true">yourdomain.com</domain>
  </domain-config>
</network-security-config>

在Gradle Scripts（在android studio中）下，找到build.Gradle（android.app）并查找buildTypes:release和debug（如果不存在则创建）：

buildTypes {

release {
    minifyEnabled false
    manifestPlaceholders.securityConfig = "@xml/network_security_config_prod"
 }

 debug {
    manifestPlaceholders.securityConfig = "@xml/network_security_config_dev"
 }

}

在AndroidManifest.xml中，使用securityConfig占位符如下（在build.gradle中定义）：

<application
    android:allowBackup="true"
    android:icon="@mipmap/ic_launcher"
    android:label="@string/app_name"
    android:roundIcon="@mipmap/ic_launcher_round"
    android:supportsRtl="true"
    android:networkSecurityConfig="${securityConfig}"   <------- here

2022-10-27 23:22:23

出于安全原因，您应该尽可能使用HTTPS（HTTP安全）。你可以在这里阅读更多

根据您的情况，此问题有多种解决方案。

如果您试图与第一方服务通信，IE：您自己的web服务器

服务器端：您应该向该服务器添加HTTPS支持，并使用HTTPS而不是HTTP。如今，您甚至可以使用LetsEncrypt等服务免费进行加密客户端：如果您使用的是java.net包中的HttpURLConnection，则可以切换到java.net.ssl包的HttpsURLConnection，它有一个类似的API（如果不是完全相同的话），因此切换应该很容易。

如果您正在使用第三方服务，如谷歌、Facebook、天气服务等。

如果您正在与之通信的服务支持HTTPS（它很可能支持HTTPS），您只需从http://abc.xyz到https://abc.xyz.

作为最后的手段，如果您要与之通信的第三方服务不支持HTTPS或任何其他形式的安全通信，您可以使用此答案，但同样，不建议这样做，因为它破坏了这一急需的安全功能的目的。

2019-12-22 15:57:24

对于Xamarin.Android开发人员，请确保HttpClient实现和SSL/TLS设置为默认值。

它可以在Andorid选项->高级Android选项下找到。

2019-11-19 05:33:49

Android 8:不允许Cleartext HTTP流量

推荐文章

最新文章

标签