iOS ATS (App Transport Security)

WWDC 15 提出的 ATS (App Transport Security) 是 Apple 在推进网络通讯安全的一个重要方式。在 iOS 9 和 OS X 10.11 中，默认情况下非 HTTPS 的网络访问是被禁止的。当然，因为这样的推进影响面非常广，作为缓冲，我们可以在 Info.plist 中添加 NSAppTransportSecurity 字典并且将NSAllowsArbitraryLoads 设置为 YES 来禁用 ATS。但是，WWDC 16 中，Apple 表示将继续在 iOS 10 和 macOS 10.12 里收紧对普通 HTTP 的访问限制。从 2017 年 1 月 1 日起，所有的新提交 app 默认是不允许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制的，也就是说，我们最好保证 app 的所有网络请求都是 HTTPS 加密的，否则可能会在应用审核时遇到麻烦。
APP开发可能遇到如下情况：
1. 默认情况下你的 app 可以访问加密足够强 (TLS v1.2 以上，AES-128 和 SHA-2 以及 ECDHC 等) 的 HTTPS 内容。这对所有的网络请求都有效，包括 NSURLSession，UIWebView 以及 WKWebView 等。
2. 你依然可以添加 NSAllowsArbitraryLoads 为 YES 来禁用 ATS，不过如果你这么做的话，需要在提交 app 时进行说明，为什么需要访问非 HTTPS 内容。一般来说，可能类似浏览器类的 app 比较容易能通过。
3. 相比于使用 NSAllowsArbitraryLoads 将全部 HTTP 内容开放，选择使用 NSExceptionDomains 来针对特定的域名开放 HTTP 应该要相对容易过审核。“需要访问的域名是第三方服务器，他们没有进行 HTTPS 对应”会是审核时的一个可选理由，但是这应该只需要针对特定域名，而非全面开放。如果访问的是自己的服务器的话，可能这个理由会无法通过。
4. 对于网页浏览和视频播放的行为，iOS 10 中新加入了 NSAllowsArbitraryLoadsInWebContent 键。通过将它设置为 YES，可以让你的 app 中的WKWebView 和使用 AVFoundation 播放的在线视频不受 ATS 的限制。这也应该是绝大多数使用了相关特性的 app 的选择。但是坏消息是这个键在 iOS 9 中并不会起作用。

为什么要强制开启ATS和HTTPS加密
　　HTTP是非常不安全的明文传输协议，任何通过HTTP协议传输的数据都以明文形式在网络中“裸奔”，任何数据都处在被窃听、篡改、冒充这三大风险之中。HTTP不提供任何方式的数据加密，如果攻击者劫持了HTTP流量，就可以直接读懂其中的信息；而且HTTP并不验证服务器身份的真实性，服务器返回的请求容易被篡改或者假冒，而用户根本无法察觉。因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。
　　HTTPS协议是Http Over SSL，简单来说就是HTTP的安全版本，在HTTP的基础上增加SSL/TLS加密传输协议，通过HTTPS加密传输和身份认证保证了传输过程的安全性。在登录网银和电子邮箱时，你会常常看到地址栏的网址显示HTTPS前缀，从而轻松判断这个网页是否采用了HTTPS加密连接。但是在移动应用上，网络连接的安全性就没有那么透明了，用户很难知道App连接网络时使用的是HTTP还是HTTPS。
　　ATS就是因此而诞生的，ATS要求服务器必须支持传输层安全（TLS）协议1.2以上版本；证书必须使用SHA256或更高的哈希算法签名；必须使用2048位以上RSA密钥或256位以上ECC算法等等，不满足条件的证书，ATS都会拒绝连接。强制开启ATS体现了苹果一贯的隐私保护态度。