首页 > 其他分享 >iOS开发基础109-网络安全

iOS开发基础109-网络安全

时间:2024-07-17 12:07:33浏览次数:9  
标签:网络安全 __ String bridge iOS userInput 109 let query

在iOS开发中,保障应用的网络安全是一个非常重要的环节。以下是一些常见的网络安全措施及对应的示例代码:

Swift版

1. 使用HTTPS

确保所有的网络请求使用HTTPS协议,以加密数据传输,防止中间人攻击。

示例代码:

在Info.plist中配置App Transport Security (ATS):

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
</dict>

2. SSL Pinning

通过SSL Pinning可以确保应用程序只信任指定的服务器证书,防止被劫持到伪造的服务器。

示例代码:

import Foundation

class URLSessionPinningDelegate: NSObject, URLSessionDelegate {
  func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        if let serverTrust = challenge.protectionSpace.serverTrust,
           SecTrustEvaluate(serverTrust, nil) == errSecSuccess,
           let serverCertificate = SecTrustGetCertificateAtIndex(serverTrust, 0) {

            let localCertificateData = try? Data(contentsOf: Bundle.main.url(forResource: "your_cert", withExtension: "cer")!)
            let serverCertificateData = SecCertificateCopyData(serverCertificate) as Data

            if localCertificateData == serverCertificateData {
                let credential = URLCredential(trust: serverTrust)
                completionHandler(.useCredential, credential)
                return
            }
        }
        completionHandler(.cancelAuthenticationChallenge, nil)
  }
}

// Usage
let url = URL(string: "https://yoursecurewebsite.com")!
let session = URLSession(configuration: .default, delegate: URLSessionPinningDelegate(), delegateQueue: nil)
let task = session.dataTask(with: url) { data, response, error in
    // Handle response
}
task.resume()

3. 防止SQL注入

在处理用户输入时,使用参数化查询来防止SQL注入攻击。

示例代码:

import SQLite3

func queryDatabase(userInput: String) {
    var db: OpaquePointer?
    // Open database (assuming dbPath is the path to your database)
    sqlite3_open(dbPath, &db)

    var queryStatement: OpaquePointer?
    let query = "SELECT * FROM users WHERE username = ?"
    
    if sqlite3_prepare_v2(db, query, -1, &queryStatement, nil) == SQLITE_OK {
        sqlite3_bind_text(queryStatement, 1, userInput, -1, nil)
        
        while sqlite3_step(queryStatement) == SQLITE_ROW {
            // Process results
        }
    }
    
    sqlite3_finalize(queryStatement)
    sqlite3_close(db)
}

4. Data Encryption

在存储敏感数据时,使用iOS的加密库来加密数据,比如使用Keychain

示例代码:

import Security

func saveToKeychain(key: String, data: Data) -> OSStatus {
    let query: [String: Any] = [
        kSecClass as String: kSecClassGenericPassword,
        kSecAttrAccount as String: key,
        kSecValueData as String: data
    ]

    SecItemDelete(query as CFDictionary) // Delete any existing item
    return SecItemAdd(query as CFDictionary, nil) // Add new item
}

func loadFromKeychain(key: String) -> Data? {
    let query: [String: Any] = [
        kSecClass as String: kSecClassGenericPassword,
        kSecAttrAccount as String: key,
        kSecReturnData as String: kCFBooleanTrue!,
        kSecMatchLimit as String: kSecMatchLimitOne
    ]

    var dataTypeRef: AnyObject?
    let status: OSStatus = SecItemCopyMatching(query as CFDictionary, &dataTypeRef)

    if status == noErr {
        return dataTypeRef as? Data
    } else {
        return nil
    }
}

5. 输入验证与清理

对用户输入进行验证和清理,防止XSS(跨站脚本攻击)和其他注入攻击。

示例代码:

func sanitize(userInput: String) -> String {
    // Remove any script tags or other potentially dangerous content
    return userInput.replacingOccurrences(of: "<script>", with: "", options: .caseInsensitive)
                    .replacingOccurrences(of: "</script>", with: "", options: .caseInsensitive)
}

// Usage
let userInput = "<script>alert('xss')</script>"
let sanitizedInput = sanitize(userInput: userInput)
print(sanitizedInput) // Outputs: alert('xss')

OC版

1. 使用HTTPS

确保所有的网络请求都使用HTTPS协议,以加密数据传输,防止中间人攻击。

示例代码:

Info.plist中配置App Transport Security (ATS):

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <false/>
</dict>

2. SSL Pinning

通过SSL Pinning可以确保应用程序只信任指定的服务器证书,防止被劫持到伪造的服务器。

示例代码:

#import <Foundation/Foundation.h>

@interface URLSessionPinningDelegate : NSObject <NSURLSessionDelegate>

@end

@implementation URLSessionPinningDelegate

- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler {
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
        SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
        SecCertificateRef serverCertificate = SecTrustGetCertificateAtIndex(serverTrust, 0);
        
        NSString *certPath = [[NSBundle mainBundle] pathForResource:@"your_cert" ofType:@"cer"];
        NSData *localCertData = [NSData dataWithContentsOfFile:certPath];
        NSData *serverCertData = (__bridge NSData *)(SecCertificateCopyData(serverCertificate));
        
        if ([localCertData isEqualToData:serverCertData]) {
            NSURLCredential *credential = [NSURLCredential credentialForTrust:serverTrust];
            completionHandler(NSURLSessionAuthChallengeUseCredential, credential);
            return;
        }
    }
    completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge, nil);
}

@end

// Usage
NSURL *url = [NSURL URLWithString:@"https://yoursecurewebsite.com"];
NSURLSessionConfiguration *sessionConfig = [NSURLSessionConfiguration defaultSessionConfiguration];
URLSessionPinningDelegate *pinningDelegate = [[URLSessionPinningDelegate alloc] init];
NSURLSession *session = [NSURLSession sessionWithConfiguration:sessionConfig delegate:pinningDelegate delegateQueue:nil];

NSURLSessionDataTask *task = [session dataTaskWithURL:url completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
    if (error == nil) {
        // Handle response
    }
}];
[task resume];

3. 防止SQL注入

在处理用户输入时,使用参数化查询来防止SQL注入攻击。

示例代码:

#import <sqlite3.h>

- (void)queryDatabase:(NSString *)userInput {
    sqlite3 *db;
    // Open database (assuming dbPath is the path to your database)
    if (sqlite3_open([dbPath UTF8String], &db) == SQLITE_OK) {
        sqlite3_stmt *statement;
        const char *query = "SELECT * FROM users WHERE username = ?";
        
        if (sqlite3_prepare_v2(db, query, -1, &statement, NULL) == SQLITE_OK) {
            sqlite3_bind_text(statement, 1, [userInput UTF8String], -1, SQLITE_TRANSIENT);
            
            while (sqlite3_step(statement) == SQLITE_ROW) {
                // Process results
            }
        }
        
        sqlite3_finalize(statement);
        sqlite3_close(db);
    }
}

4. Data Encryption

在存储敏感数据时,使用iOS的加密库来加密数据,比如使用Keychain

示例代码:

#import <Security/Security.h>

- (OSStatus)saveToKeychainWithKey:(NSString *)key data:(NSData *)data {
    NSDictionary *query = @{(__bridge id)kSecClass: (__bridge id)kSecClassGenericPassword,
                            (__bridge id)kSecAttrAccount: key,
                            (__bridge id)kSecValueData: data};
    
    SecItemDelete((__bridge CFDictionaryRef)query); // Delete any existing item
    return SecItemAdd((__bridge CFDictionaryRef)query, NULL); // Add new item
}

- (NSData *)loadFromKeychainWithKey:(NSString *)key {
    NSDictionary *query = @{(__bridge id)kSecClass: (__bridge id)kSecClassGenericPassword,
                            (__bridge id)kSecAttrAccount: key,
                            (__bridge id)kSecReturnData: (__bridge id)kCFBooleanTrue,
                            (__bridge id)kSecMatchLimit: (__bridge id)kSecMatchLimitOne};
    
    CFTypeRef dataTypeRef = NULL;
    OSStatus status = SecItemCopyMatching((__bridge CFDictionaryRef)query, &dataTypeRef);
    
    if (status == noErr) {
        return (__bridge_transfer NSData *)dataTypeRef;
    } else {
        return nil;
    }
}

5. 输入验证与清理

对用户输入进行验证和清理,防止XSS(跨站脚本攻击)和其他注入攻击。

示例代码:

- (NSString *)sanitize:(NSString *)userInput {
    // Remove any script tags or other potentially dangerous content
    NSString *sanitizedInput = [userInput stringByReplacingOccurrencesOfString:@"<script>" withString:@"" options:NSCaseInsensitiveSearch range:NSMakeRange(0, userInput.length)];
    sanitizedInput = [sanitizedInput stringByReplacingOccurrencesOfString:@"</script>" withString:@"" options:NSCaseInsensitiveSearch range:NSMakeRange(0, sanitizedInput.length)];
    return sanitizedInput;
}

// Usage
NSString *userInput = @"<script>alert('xss')</script>";
NSString *sanitizedInput = [self sanitize:userInput];
NSLog(@"%@", sanitizedInput); // Outputs: alert('xss')

通过这些措施,你可以显著提升iOS应用的网络安全性。根据项目需求,灵活运用这些技术以确保用户数据的安全。

标签:网络安全,__,String,bridge,iOS,userInput,109,let,query
From: https://www.cnblogs.com/chglog/p/18307042

相关文章

  • iOS开发基础108-常见的编程范式
    1.面向过程编程(Process-OrientedProgramming,POP)代码示例(Swift)importUIKitclassViewController:UIViewController{overridefuncviewDidLoad(){super.viewDidLoad()printGreeting()printNumber(num:42)}/......
  • iOS开发基础107-直播
    在iOS平台上,直播技术已经很成熟,有许多强大的第三方框架可以帮助开发者轻松实现直播功能。当前主流的直播第三方框架包括但不限于:LFLiveKit:一款开源的直播推流SDK。PLMediaStreamingKit:由云天存提供的一站式音视频解决方案。AliyunPlayer:阿里云提供的音视频播放解决方案。A......
  • iOS开发基础105-Xcode收集Crashs的各种方法
    Xcode提供了一整套工具和功能来帮助开发者收集、分析和处理应用崩溃报告。通过这些工具,开发者可以追踪和解析崩溃日志,以更加准确和及时地修复问题。以下是详细介绍Xcode工具收集崩溃报告的各种方法。一、通过设备获取崩溃报告1.连接设备将iOS设备通过USB连接到您的Mac......
  • iOS开发基础106-Instruments
    Instruments是苹果公司提供的一款强大的分析和性能调试工具,集成在Xcode开发环境中。Instruments可帮助开发者分析和优化iOS、macOS应用,检测性能瓶颈、内存泄漏、CPU使用率、磁盘I/O等问题,从而提升应用的效率和用户体验。以下详细介绍Instruments的主要功能和使用方法......
  • iOS开发基础104-正向代理和反向代理
    正向代理和反向代理是计算机网络中两种重要的技术,它们在网络请求的传递和管理上扮演着不同的角色。下面将详细介绍这两者的概念、优缺点,并探讨它们在iOS开发中的应用。一、正向代理1.概念正向代理是一种代理服务器,客户端向代理服务器发送请求,由代理服务器转发请求到目标服务器......
  • iOS开发基础103-APP之间跳转
    iOS提供了多种方式来实现应用之间的相互跳转。其中,URLSchemes和UniversalLinks是两种主要的方法。下面详细介绍这两种方法,并提供相应的示例代码,同时对它们的优缺点进行分析。一、URLSchemes1.什么是URLSchemesURLSchemes是一种基于URL的通讯方式,允许一个应用通过指定的UR......
  • iOS开发基础102-后台保活方案
    iOS系统在后台执行程序时,有严格的限制,为了更好地管理资源和电池寿命,iOS会限制应用程序在后台的运行时间。然而,iOS提供了一些特定的策略和技术,使得应用程序可以在特定场景下保持后台运行(即“后台保活”)。以下是iOS中几种常见的后台保活方案,并附上示例代码:一、后台任务利用beginBa......
  • iOS开发基础101-指纹和面部识别
    在iOS开发中,使用FaceID和TouchID可以为用户提供安全的生物识别认证,而手势识别(GestureRecognition)可以增加用户交互的便利性和灵活性。下面将详细介绍这三种技术,并给出如何封装一个统一的工具类来供外部使用。一、FaceID与TouchID1.设置与配置在使用FaceID和TouchID之前,需要在......
  • [题解]UVA10902 Pick-up Sticks
    题意简述多测。给定坐标系上依次给定\(n\)根木棍的起始和终止坐标,按顺序放置这些木棍,询问最终处在最上层的木棍有哪些。\(n\le100000\)。保证任意时刻最上层的木棍不超过\(1000\)个。思路分析看起来数据范围很刁钻,不过除了暴力以外的方法想不出了,就写了一份上交,结果过了。思......
  • vue项目中使用axios(自用)
    ————流程参考 在vscode的集成终端中输入npminstallaxios回车安装重启项目(重新运行) 在script中导入axiosimportaxiosfrom'axios'; 在default中的data同级mounted()中按如下获取数据mounted(){//发送异步请求,获取数据//输入thenc......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99