iOS App 网络请求虽然用 HTTPS，但是像 Charles 专业抓包工具还是可以获取数据的，所以求一种比较合理的方案

中间人攻击, 客户端校验证书可破

证书校验：
客户端预置服务端证书（其实只要一个哈希就可以了）
客户端网络库或者其他基础组件上，加上这个哈希校验，拒绝哈希不一致的请求

注意证书更换升级等（可以考虑多买几张证书）

什么目的 防止 用户抓包？还是防止中间第三人抓包
中间人 搜索一个概念 ssl-pinning
防用户没有什么可行手段

用 HTTPS 却不去校验证书就是耍流氓。

双向认证了解一下

@snail1988 对，防止抓包，但是我写了 ssl-pinning 的代码测试过还是可以抓包的。

``` Objective-c

+ (AFSecurityPolicy*)customSecurityPolicy
{
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"https12" ofType:@"cer"];
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
securityPolicy.allowInvalidCertificates = NO;
securityPolicy.validatesDomainName = YES;
securityPolicy.pinnedCertificates = @[certData];

return securityPolicy;
}

+ (void)postUploadWithUrl:(NSString *)urlStr para:(NSDictionary *)para name:(NSString *)name fileData:(NSData *)fileData fileName:(NSString *)fileName fileType:(NSString *)fileType success:(void (^)(id responseObject))success fail:(void (^)(void))fail
{

AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
manager.securityPolicy = [AFNetPackage customSecurityPolicy];
[manager POST:urlStr parameters:para constructingBodyWithBlock:^(id<AFMultipartFormData> _Nonnull formData) {
[formData appendPartWithFileData:fileData name:name fileName:fileName mimeType:fileType];
} success:^(NSURLSessionDataTask * _Nonnull task, id _Nonnull responseObject) {
if (success) {
success(responseObject);
}
} failure:^(NSURLSessionDataTask * _Nonnull task, NSError * _Nonnull error) {
if (fail) {
fail();
}
}];
}
```

数据安全方面给个推荐：Web 端： https://github.com/FantasticLBP/Anti-WebSpider。App 端：ssl 证书双向认证防止 抓包工具抓包；数据 RSA 加密；接口防重放

双向认证用越狱机也是有办法看到内容的...

@AwayEM 数据 RSA 加密了

试试把 NSURLSessionConfiguration 的 connectionProxyDictionary 属性设置成 @{}

@Daniate 嗯，早期用这个，后来换成“ ssl 证书双向认证；数据 RSA 加密；接口防重放“。