iOS9 不会从安全页面加载不安全的资源（SSL/HTTPS）

Question

我正在尝试使用 https:// URL 将页面加载到 iOS9 上的 UIWebView。加载的页面包括来自不安全服务器的 CSS 和图像。

例如加载的页面：https://www.example.com/ 其中包括样式表http://www.example.com /style.css 和图片 http://www.example.com/image.jpg

如果原始页面是通过不安全的连接（常规 http）加载的，则一切正常。一切都可以通过 HTTPS 和 HTTP 在 iOS8 上运行。

我确实在应用程序 PLIST 文件中将 NSAppTransportSecurity 设置为 NSAllowsArbitraryLoads：

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

虽然通过 HTTPS 加载页面时，图像加载正常，但 CSS 文件加载不正常。似乎 UIWebView 会阻止从安全页面加载不安全的资源。

是否有任何 UIWebView 设置允许通过不安全的连接加载 CSS？

Answer 1

这与 ATS 无关。 WebKit 强制执行混合内容策略，当通过 https 提供主机页面时，禁止通过不安全的连接加载对某些类别的“活动”内容（JS、CSS 等）的访问。

如果您在 Inspector 中检查您的页面，您会在错误面板中看到此报告。

---

跟进：您无法关闭混合内容阻止功能。允许不安全的 CSS 或 JS 会将整个页面的安全性降低到最不安全的资源。如果必须通过 http 加载 css/js，解决方案是通过 http 加载整个页面。这样，用户看到的 UI 就正确地反映了内容的安全性。

Answer 2

在您的 info.plist 中，您需要添加以下应用传输安全密钥：

NSAppTransportSecurity                                      Dictionary
    NSAllowsArbitraryLoads                                  Boolean       YES
    NSExceptionDomains                                      Dictionary    
        **YOUR-DOMAIN-HERE**                                Dictionary
            NSExceptionAllowsInsecureHTTPLoads              Boolean       YES
            NSIncludesSubdomains                            Boolean       YES
            NSThirdPartyExceptionAllowsInsecureHTTPLoads    Boolean       YES

希望这对你有用。

Answer 3

App Transport Security 在 iOS9 版本中修订。现在，您的应用程序不会受到不安全连接的影响。 iOS 强制进行安全连接。在您的情况下，这可能会发生冲突。

来自Apple documentation

如果您的应用需要向不安全的域发出请求，您必须在应用的 Info.plist 文件中指定该域

所以我认为这在为网页加载 .css 文件时会产生问题。

所以尝试在info.plist 中指定您的域并检查.css 文件是否已加载。

编辑：

---

Spotlight：您需要在info.plist 中添加更多密钥。

看看这个键NSThirdPartyExceptionAllowsInsecureHTTPLoads这允许一个不受开发者控制的服务域并向传输层添加一个例外来绕过不安全的资源。

为App Transport Security添加密钥的结构如下：

有关所有键的更多详细信息和说明，请查看此说明 - App Transport Security Technote

Answer 4

在 Xcode 8.3.3 (8E3004b) 上

已经改成

App Transport Security Settings > Allow Arbitrary Loads in Web Content > YES

Answer 5

下面的过程使我能够在 WKWebView 中打开不安全的内容。

1. 首先我在 App Transport Security Settings 字典中的 info.列表。

2. 我在 wkwebview 下面添加了委托方法：

   func webView(_ webView: WKWebView, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) { 完成处理程序（.useCredential，URLCredential（信任：challenge.protectionSpace.serverTrust！）） }

   第二步不要忘记将代理注册为：

   覆盖 func viewDidLoad() { super.viewDidLoad() self.webView.navigationDelegate = 自我 }

Answer 6

我使用 webkit 工具，但我无法打开 ssl 不允许的链接（一些 https 链接），它可以通过此代码在 swift4 上运行（您必须先声明委托）

override func viewDidLoad() {
    super.viewDidLoad()

    let url = URL(string: currentAttach.fileUrl!)
    let req = URLRequest(url:url!)
    self.webView!.load(req)
    self.webView.navigationDelegate = self

    }
}

extension ViewController: WKNavigationDelegate{

    //MARK:- WKNavigationDelegate
    //For Allow SSL https
    func webView(_ webView: WKWebView, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        completionHandler(.useCredential, URLCredential(trust: challenge.protectionSpace.serverTrust!))
    }

    func webView(_ webView: WKWebView, didFailProvisionalNavigation navigation: WKNavigation!, withError error: Error) {
        print(error.localizedDescription)
    }

    func webView(_ webView: WKWebView, didStartProvisionalNavigation navigation: WKNavigation!) {
        print("Strat to load")
        startLoading()
    }

    func webView(_ webView: WKWebView, didFinish navigation: WKNavigation!) {
        print("finish to load")
        stopLoading()
    }

}