我面临的挑战是在不重写代码的情况下将使用 HTTP 连接的 Android 应用程序转换为 HTTPS 连接?
有哪些选项可以在没有 root 访问权限的设备上实现上述挑战?
最佳答案
任何依赖服务器端重定向(从 HTTP 到 HTTPS)的解决方案都容易受到 MITM 攻击(请参阅 this answer)。
如果此应用中的地址是可配置的,只需将其更改为使用您的 HTTPS URL。
否则,您当然可以使用服务器端重定向来稍微降低风险,但这并不能防止降级 MITM 攻击(这种情况可能会发生,在使用移动设备时可能更常见)。
关于android - 如何在不更改代码的情况下强制 Android 应用程序使用安全 SSL/TLS 连接而不是 http?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13478855/