借助网络安全配置功能，应用可以在一个安全的声明性配置文件中自定义其网络安全设置，而无需修改应用代码。您可以针对特定网域和特定应用配置这些设置。此功能的主要特性如下所示： 自定义信任锚：针对应用的安全连接自定义哪些证书授权机构 (CA) 值得信赖。例如，信任特定的自签名证书或限制应用信任的公共 CA 集。 仅调试替换：在应用中以安全方式调试安全连接，而不会增加安装设备的风险。 选择停用明文流量：防止应用意外使用明文流量。 证书固定：限制应用仅安全连接到特定的证书。 添加网络安全配置文件 网络安全配置功能使用一个 XML 文件，您可以在该文件中指定应用的设置。您必须在应用的清单中添加一个指向该文件的条目。以下代码摘自一个清单文件，演示了如何创建此条目： <?xml version="1.0" encoding="utf-8"?> <manifest ... > <application android:networkSecurityConfig="@xml/network_security_config" ... > ... </application> </manifest> 自定义可信 CA 应用可能需要信任自定义的 CA 集，而不是平台默认值。出现此情况的最常见原因包括： 连接到具有自定义证书授权机构（如自签名或在公司内部签发的 CA）的主机。 仅限您信任的 CA（而不是每个预装 CA）。 信任未包含在系统中的其他 CA。 默认情况下，来自所有应用的安全连接（使用 TLS 和 HTTPS 之类的协议）均信任预装的系统 CA，而以 Android 6.0（API 级别 23）及更低版本为目标平台的应用默认情况下还会信任用户添加的 CA 存储区。应用可以使用 base-config（应用范围的自定义）或 domain-config（针对每个网域的自定义）自定义自己的连接。 配置自定义 CA 假设您要连接到使用自签名 SSL 证书的主机，或者连接到其 SSL 证书由您信任的非公共 CA（如公司的内部 CA）颁发的主机。 res/xml/network_security_config.xml： <?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.