Android 8: HTTP-трафик в открытом виде запрещен

Это могло быть кому-то полезно.

Недавно у нас была такая же проблема для Android 9, но нам нужно было только отобразить некоторые URL-адреса в WebView, ничего особенного. Итак, добавление android:usesCleartextTraffic="true" в Manifest сработало, но мы не хотели ставить под угрозу безопасность всего приложения для этого. Итак, исправление заключалось в изменении ссылок с http на https.

Для проектов React Native

Он уже был установлен на RN 0.59. Вы можете найти на обновить diff с 0.58.6 до 0.59 Вы можете применить его, не обновляя версию RN, просто выполните следующие действия:

Создать файлы:

android / app / src / debug /res/xml/react_native_config.xml -

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
  <domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="false">localhost</domain>
    <domain includeSubdomains="false">10.0.2.2</domain>
    <domain includeSubdomains="false">10.0.3.2</domain>
  </domain-config>
</network-security-config>

-

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
  xmlns:tools="http://schemas.android.com/tools">

  <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>

  <application tools:targetApi="28"
      tools:ignore="GoogleAppIndexingWarning" 
      android:networkSecurityConfig="@xml/react_native_config" />
</manifest>

Я удалил эту строку из файла манифеста Android, который уже существует

 android:networkSecurityConfig="@xml/network_security_config" 

и добавил

android:usesCleartextTraffic="true"

это в тег приложения в манифесте

<application
    android:usesCleartextTraffic="true"
    android:allowBackup="true"
    android:label="@string/app_name"
    android:largeHeap="true"
    android:supportsRtl="true"
    android:theme="@style/AppTheme"
    >

то эта ошибка Открытый текст HTTP-трафика на overlay.openstreetmap.nl не разрешена для меня в Android 9 и 10. Я надеюсь, что это сработает и для Android 8, если вам поможет, не забудьте голосование спасибо

Хорошо, я понял это. Это связано с параметром манифеста android:targetSandboxVersion="2", который я добавил, потому что у нас также есть версия мгновенного приложения - он должен быть уверен, что после того, как пользователь обновится с мгновенного приложения до обычного приложения, он не потеряет свои данные при передаче. Однако, как следует из расплывчатого описания:

Задает целевую песочницу, которую хочет использовать это приложение. Более высокие версии sanbox будут иметь повышенный уровень безопасности.

Значение этого атрибута по умолчанию - 1.

Очевидно, это также добавляет новый уровень политики безопасности, по крайней мере, на Android 8.

Добавление ... android: usesCleartextTraffic = "true" ... в ваш файл манифеста может решить проблему, но это создает угрозу целостности данных.

По соображениям безопасности я использовал заполнители манифеста с android: usesCleartextTraffic внутри файла манифеста (например, в Вариант 3 принятого ответа, т.е. ответ @ Хришикеш Кадам), чтобы разрешить только открытый текст в среде отладки.

Внутри моего файла build.gradle (: app) я добавил заполнитель манифеста следующим образом:

    buildTypes {
        release {
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
        }

        debug {
            manifestPlaceholders.cleartextTrafficPermitted ="true"
        }
    }

Обратите внимание на название заполнителя cleartextTrafficPermitted в этой строке выше.

            manifestPlaceholders.cleartextTrafficPermitted ="true"

Затем в моем манифесте Android я использовал тот же заполнитель ...

AndroidManifest.xml -

<?xml version="1.0" encoding="utf-8"?>
<manifest ...>
    <uses-permission android:name="android.permission.INTERNET" />
    <application
        ...
        android:usesCleartextTraffic="${cleartextTrafficPermitted}"
        ...>
        ...
    </application>
</manifest>

При этом трафик в открытом виде разрешен только в среде отладки.

Простое и легкое решение [Xamarin Form]

Для Android

1. Перейти к Android Project, затем нажмите Properties,

2. Open AssemblyInfo.cs and paste this code right there:

   [assembly: Application(UsesCleartextTraffic =true)]

Для iOS

Используйте NSAppTransportSecurity:

Вы должны установить для ключа NSAllowsArbitraryLoads значение YES в NSAppTransportSecurity словаре вашего info.plist файла.

<key>NSAppTransportSecurity</key>
<dict>
  <key>NSAllowsArbitraryLoads</key>
  <true/>
</dict>

Чтобы применить эти различные ответы к Xamarin.Android, вы можете использовать атрибуты уровня класса и сборки вместо ручного редактирования AndroidManifest.xml

Интернет-разрешение конечно необходимо (да ..):

[assembly: UsesPermission(Android.Manifest.Permission.Internet)]

Примечание. Обычно атрибуты уровня сборки добавляются в ваш AssemblyInfo.cs файл, но любой файл ниже using и выше namespace работает.

Затем в подклассе приложения (при необходимости создайте его) вы можете добавить NetworkSecurityConfig со ссылкой на файл Resources/xml/ZZZZ.xml:

#if DEBUG
[Application(AllowBackup = false, Debuggable = true, NetworkSecurityConfig = "@xml/network_security_config")]
#else
[Application(AllowBackup = true, Debuggable = false, NetworkSecurityConfig = "@xml/network_security_config"))]
#endif
public class App : Application
{
    public App(IntPtr javaReference, Android.Runtime.JniHandleOwnership transfer) : base(javaReference, transfer) { }
    public App() { }

    public override void OnCreate()
    {
        base.OnCreate();
    }
}

Создайте файл в папке Resources/xml (при необходимости создайте папку xml).

Пример файла xml/network_security_config, при необходимости отрегулируйте (см. Другие ответы)

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
          <domain includeSubdomains="true">www.example.com</domain>
          <domain includeSubdomains="true">notsecure.com</domain>
          <domain includeSubdomains="false">xxx.xxx.xxx</domain>
    </domain-config>
</network-security-config>

Вы также можете использовать параметр UsesCleartextTraffic в ApplicationAttribute:

#if DEBUG
[Application(AllowBackup = false, Debuggable = true, UsesCleartextTraffic = true)]
#else
[Application(AllowBackup = true, Debuggable = false, UsesCleartextTraffic = true))]
#endif

Обновление, декабрь 2019, ionic - 4.7.1

<manifest xmlns:tools=“http://schemas.android.com/tools”>

<application android:usesCleartextTraffic=“true” tools:targetApi=“28”>

Добавьте указанное выше содержимое в XML-файл манифеста Android.

Предыдущие версии ionic

1. Убедитесь, что в вашем config.xml в Ionic Project есть следующее:

   <edit-config file="app/src/main/AndroidManifest.xml" mode="merge" target="/manifest/application" xmlns:android="http://schemas.android.com/apk/res/android">
               <application android:networkSecurityConfig="@xml/network_security_config" />
               <application android:usesCleartextTraffic="true" />
           </edit-config>
   

2. Запускаем ionic Cordova build android. Он создает папку Android под платформами

3. Откройте Android Studio и откройте папку Android, присутствующую в нашем проекте project-platform-android. Оставьте его на несколько минут, чтобы он построил градиент

4. После завершения gradle build мы получаем несколько ошибок для включения minSdVersion в manifest.xml. Теперь мы просто удаляем <uses-sdk android:minSdkVersion="19" /> из manifest.xml.

   Убедитесь, что он удален из обоих мест:

   1. app → manifests → AndroidManifest.xml.
   2. CordovaLib проявляет AndroidManifest.xml.

   Теперь попробуйте снова построить градиент, и теперь он успешно строится.

5. Убедитесь, что в теге приложения в манифесте приложения Androidmanifest.xml указано следующее:

   <application
   android:networkSecurityConfig="@xml/network_security_config"  android:usesCleartextTraffic="true" >
   

6. Откройте network_security_config (приложение res xml network_security_config.xml).

   Добавьте следующий код:

   <?xml version="1.0" encoding="utf-8"?>
   <network-security-config>
       <domain-config cleartextTrafficPermitted="true">
           <domain includeSubdomains="true">xxx.yyyy.com</domain>
       </domain-config>
   </network-security-config>
   

Здесь xxx.yyyy.com - ссылка на ваш HTTP API. Убедитесь, что вы не включили HTTP перед URL-адресом.

Примечание. Теперь создайте приложение с помощью Android Studio (Build - Build Bundle's / APK - Build APK), и теперь вы можете использовать это приложение, и оно отлично работает в Android Pie. Если вы попытаетесь создать приложение с помощью ionic Cordova build android, оно переопределит все эти настройки, поэтому убедитесь, что вы используете Android Studio для сборки проекта.

Если у вас установлены какие-либо более старые версии приложения, удалите их и попробуйте, иначе вы останетесь с некоторой ошибкой:

Приложение не установлено

Я также получаю ту же ошибку «HTTP-трафик открытого текста не разрешен» при разработке моего приложения. Я использую Retrofit2 для сетевых вызовов в своем приложении, и у меня есть две среды проекта (разработка и производство). В моем рабочем домене есть сертификат SSL с вызовами HTTPS, а у разработчика не будет https. Конфигурация добавляется в варианты сборки. Но когда я перейду на разработчика, эта проблема возникнет. Поэтому я добавил для этого решение ниже.

Я добавил открытый текстовый трафик в манифест

 android:usesCleartextTraffic="true"

Затем я добавил спецификацию подключения во время создания класса конфигурации модификации OKHttp.

 .connectionSpecs(CollectionsKt.listOf(ConnectionSpec.MODERN_TLS, ConnectionSpec.CLEARTEXT))

Полное создание OkHttpClient приведено ниже.

OkHttpClient okHttpClient = new OkHttpClient.Builder()
        .readTimeout(10, TimeUnit.SECONDS)
        .connectTimeout(10, TimeUnit.SECONDS)
        .cache(null)
        .connectionSpecs(CollectionsKt.listOf(ConnectionSpec.MODERN_TLS, ConnectionSpec.CLEARTEXT))
        .addInterceptor(new NetworkInterceptor(context))
        .addInterceptor(createLoggingInterceptor())
        .addInterceptor(createSessionExpiryInterceptor())
        .addInterceptor(createContextHeaderInterceptor())
        .build();

Создать файл - res / xml / network_security.xml

В network_security.xml ->

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">192.168.0.101</domain>
    </domain-config>
</network-security-config>

Откройте AndroidManifests.xml:

 android:usesCleartextTraffic="true" //Add this line in your manifests

<application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:usesCleartextTraffic="true"
        android:theme="@style/AppTheme">

В то время как рабочий ответ для меня был от @PabloCegarra:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
</network-security-config>

Вы можете получить предупреждение системы безопасности относительно cleartextTrafficPermitted="true"

Если вы знаете, что домены внесены в «белый список», вам следует смешать принятый ответ и приведенный выше:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="false">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">books.google.com</domain>
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </domain-config>
</network-security-config>

Этот код у меня работает, но моему приложению нужно получать данные только с books.google.com. Таким образом исчезает предупреждение системы безопасности.

Просто добавьте android: usesCleartextTraffic = "true" в файл AndroidManifest.xml.

Поместите в свой resources/android/xml/network_security_config.xml следующее:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true" />
</network-security-config>

Это решает Failed to load resource: net::ERR_CLEARTEXT_NOT_PERMITTED проблему на Android для Cordova / Ionic.

В моем случае этот URL-адрес также не работает в браузере.

Я проверяю с помощью https://www.google.com/

webView.loadUrl("https://www.google.com/")

И у меня это сработало.

Для разработчиков Xamarin.Android убедитесь, что для реализации HttpClient и SSL / TLS установлено значение По умолчанию.

Его можно найти в разделе «Параметры Andorid» -> «Дополнительные параметры Android».

Это сделано из соображений безопасности, вы всегда должны предпочитать использовать HTTPS (HTTP Secure), где это возможно.
Подробнее об этом можно прочитать на здесь

Есть несколько решений этой проблемы в зависимости от вашего состояния.

Если вы пытаетесь связаться со сторонней службой, IE: ваш собственный веб-сервер.

На стороне сервера: вы должны добавить поддержку HTTPS к этому серверу и использовать HTTPS вместо HTTP. В наши дни это можно сделать даже бесплатно с помощью таких сервисов, как LetsEncrypt и другие
На стороне клиента: если вы используя HttpURLConnection из пакета java.net, вы можете переключиться на HttpsURLConnection пакета java.net.ssl, он имеет похожий, если не идентичный API, поэтому переключение должно быть легким.

Если вы используете сторонний сервис, такой как Google, Facebook, погодный сервис и т. Д.

В случае, если служба, с которой вы общаетесь, поддерживает HTTPS (что, скорее всего, поддерживает), вы можете просто изменить URL-адрес своего запроса с http://abc.xyz на https://abc.xyz.

В крайнем случае, если сторонняя служба, с которой вы хотите общаться, не поддерживает HTTPS или любую другую форму безопасного обмена данными, вы можете использовать этот ответ, но, опять же, это не рекомендуется, так как это противоречит цели этой столь необходимой функции безопасности.

 cleartext support is disabled by default.Android in 9 and above

 Try This one I hope It will work fine

1 Step:->  add inside android build gradle (Module:App)
            useLibrary 'org.apache.http.legacy'

  android {
               compileSdkVersion 28
              useLibrary 'org.apache.http.legacy'

          }

Затем 2 шага: -> манифест добавить внутри тега манифеста приложения

<application
    android:networkSecurityConfig="@xml/network_security_config">//add drawable goto Step 4

   // Step --->3  add to top this line  
     <uses-library
        android:name="org.apache.http.legacy"
        android:required="false" />

</application>

// Шаг 4 - >> Создать Drawable >> Xml файл >> назовите как >> network_security_config.xml

   <?xml version="1.0" encoding="utf-8"?>
   <network-security-config>
      <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
           <certificates src="system" />
        </trust-anchors>
      </base-config>
    </network-security-config>

Обновитесь до React Native 0.58.5 или более поздней версии. У них есть includeSubdomain в их файлах конфигурации в RN 0.58.5.

ChangeLog

В Rn 0.58.5 они объявили network_security_config со своим доменом сервера. Конфигурация сетевой безопасности позволяет приложению разрешать открытый текстовый трафик из определенного домена. Поэтому не нужно прилагать дополнительных усилий, объявляя android:usesCleartextTraffic="true" в теге приложения вашего файла манифеста. Это будет разрешено автоматически после обновления версии RN.

После изменения API версии 9.0 получение сообщения об ошибке «Открытый текст» HTTP-трафик на YOUR-API.DOMAIN.COM не разрешен (targetSdkVersion = "28"). в студии xamarin, xamarin.android и android.

Два шага для решения этой ошибки в xamarin, xamarin.android и android studio.

Шаг 1. Создайте файл resources / xml / network_security_config.xml

В network_security_config.xml

<?xml version="1.0" encoding="utf-8" ?>
<network-security-config>
  <domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="true">mobapi.3detrack.in</domain>
  </domain-config>
</network-security-config>

Шаг 2: обновите AndroidManifest.xml -

Добавьте android: networkSecurityConfig = "@ xml / network_security_config" в тег приложения. например:

<application android:label="your App Name" android:icon="@drawable/icon" android:networkSecurityConfig="@xml/network_security_config">

добавление этого параметра в заголовок решило мою проблему в apiSauce React Native

"Content-Type": "application/x-www-form-urlencoded",
  Accept: "application/json"

Если вы используете ionic и получаете эту ошибку во время использования собственного плагина http, необходимо сделать следующее исправление:

goto resources/android/xml/network_security_config.xml Измените его на -

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">localhost</domain>
        <domain includeSubdomains="true">api.example.com(to be adjusted)</domain>
    </domain-config>
</network-security-config>

Это сработало для меня!

Я использую Cordova 8 с cordova-plugin-whitelist 1.3.4, и это конфигурация по умолчанию, у моего приложения нет доступа к Интернету, и я только добавляю параметр в manifest.xml -> android: usesCleartextTraffic = "true"

Путь к mainfest изменился в Cordova 8: platform / android / app / src / main / AndroidManifest.xml.

 <?xml version='1.0' encoding='utf-8'?>
    <manifest android:hardwareAccelerated="true" android:versionCode="10000" android:versionName="1.0.0" package="io.cordova.hellocordova" xmlns:android="http://schemas.android.com/apk/res/android">
        <supports-screens android:anyDensity="true" android:largeScreens="true" android:normalScreens="true" android:resizeable="true" android:smallScreens="true" android:xlargeScreens="true" />
        <application 
android:hardwareAccelerated="true" 
android:icon="@mipmap/ic_launcher" 
android:label="@string/app_name" 
android:supportsRtl="true" 
android:usesCleartextTraffic="true">
            <activity android:configChanges="orientation|keyboardHidden|keyboard|screenSize|locale|smallestScreenSize|screenLayout|uiMode" android:label="@string/activity_name" android:launchMode="singleTop" android:name="MainActivity" android:theme="@android:style/Theme.DeviceDefault.NoActionBar" android:windowSoftInputMode="adjustResize">
                <intent-filter android:label="@string/launcher_name">
                    <action android:name="android.intent.action.MAIN" />
                    <category android:name="android.intent.category.LAUNCHER" />
                </intent-filter>
            </activity>
        </application>
        <uses-permission android:name="android.permission.INTERNET" />
        <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    </manifest>

это действительно глупо, потому что очевидно, что вашему приложению нужен доступ в Интернет ....

Открытый текст - это любая переданная или сохраненная информация, которая не зашифрована или не предназначена для шифрования.

Когда приложение взаимодействует с серверами, используя сетевой трафик в открытом виде, например HTTP (не https), это может повысить риск взлома и подделки содержимого. Третьи стороны могут вводить несанкционированные данные или утечку информации о пользователях. Вот почему разработчикам рекомендуется использовать только защищенный трафик, например HTTPS. Вот реализация и ссылка на то, как решить эту проблему.

Попробуйте ввести в URL-адрес https: // вместо http: //.

videoView не может открыть это видео Онлайн-видео

Создайте файл res / xml / network_security_config.xml

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
</network-security-config>

Новое в файле AndroidManifest.xml в приложении:

android:networkSecurityConfig="@xml/network_security_config"

https://techprogrammingideas.blogspot.com/2021/02/android-code-for-displaying-video-with.html

https://youtu.be/90hWWAqfdUU

Один лайнер для решения вашей проблемы. Я предполагаю, что вы сохраните свой URL-адрес в строке myURL. Добавьте эту строку, и все готово. myURL = myURL.replace ("http", "https");