如果组件没有包含过滤器intent-filter,那么android:exported属性的值默认是false;如果组件包含了至少一个intent-filter,那么android:exported属性的值默认就是true。
如果必须暴露这些组件,那么需要添加自定义的permission权限来进行访问控制。
<activity
android:name=“com.androidwind.safe.DemoActivity”
android:exported=“true”
android:label=“@string/app_name”
android:permission=“com.androidwind.permission.demoPermission” >
外部应用如果想直接打开DemoActivity,需要在AndroidManifest.xml配置:
=================================================================
由于WebView在低系统版本中存在远程代码执行漏洞,如JavascriptInterface,中间人可以利用此漏洞执行任意代码。
所以app的targetSdkVersion需要大于17,也就是Android版本至少要4.2。
另外需要注意将wenview自动保存密码功能关闭:
webView.getSettings().setSavePassword(false);
==================================================================
有的时候为了方便跟踪用户操作反馈,app端往往会把日志保存在sd卡上,然后在适当的机会将用户日志上传到服务器,然后开发人员可以查看用户日志信息,分析相关的问题。
但是这样做有个很大的风险就是日志里面往往包含了app的一些敏感信息,比如url地址、参数、还有类名,以及用户的使用记录,包括名称、id、聊天记录等等。
虽然app可以做一些操作来减少风险,比如定期删除日志等,但是毕竟这些信息还是外露了,可能被别有用心的人利用。
所以我们对日志输出的要求是:
-
不存储在外部,比如手机存储空间;
-
测试环境可以在logcat输出日志信息;
-
正式环境屏蔽所有日志输出。包括logcat和手机外部存储;
-
不使用System.out输出日志;
另外,项目中日志输出需要统一使用同一个日志管理类,不应该存在多个输出日志的类。
==============================================================
所有网络请求必须使用https。而且在Android P系统中,默认使用加密连接,所有未加密的连接会受限:
Google表示,为保证用户数据和设备的安全,针对下一代 Android 系统(Android P)
的应用程序,将要求默认使用加密连接,这意味着 Android P 将禁止 App 使用所有未加密的连接,因此运行 Android P
系统的安卓设备无论是接收或者发送流量,未来都不能明码传输,需要使用下一代(Transport Layer
Security)传输层安全协议,而 Android Nougat 和 Oreo 则不受影响。
如果使用http连接,那么会返回如下错误信息:
//http在使用HttpUrlConnection时遇到的异常 W/System.err: java.io.IOException:
Cleartext HTTP traffic to **** not permitted //http在使用OkHttp时遇到的异常
java.net.UnknownServiceException: CLEARTEXT communication ** not
permitted by network security policy
===============================================================
==============================================================
通常简单的做法是将密钥等敏感信息保存在Java代码中,比如直接写在静态变量里。但是这样很容易被编译破解,即使代码有混淆。
我们考虑可以将一些敏感信息,比如密码、密钥等,通过cpp代码,保存在so文件中。这样会增加敏感信息被破解的难度。
需要说明的是,如果使用so文件,那么so文件也需要加壳。
github上有一个可以自动生成加密so库的插件cipher.so,这样通过在gradle里配置需要加密的数据,即可加密保存到so库,并且自动生成对应的Java接口。
cipher.so {
keys {
数据库 {
value = ‘你好数据库!,?’
}
hello {
value = ‘Hello From Cipher.so?’
总结
现在新技术层出不穷,如果每次出新的技术,我们都深入的研究的话,很容易分散精力。新的技术可能很久之后我们才会在工作中用得上,当学的新技术无法学以致用,很容易被我们遗忘,到最后真的需要使用的时候,又要从头来过(虽然上手会更快)。
我觉得身为技术人,针对新技术应该是持拥抱态度的,入了这一行你就应该知道这是一个活到老学到老的行业,所以面对新技术,不要抵触,拥抱变化就好了。
Flutter 明显是一种全新的技术,而对于这个新技术在发布之初,花一个月的时间学习它,成本确实过高。但是周末花一天时间体验一下它的开发流程,了解一下它的优缺点、能干什么或者不能干什么。这个时间,并不是我们不能接受的。
如果有时间,其实通读一遍 Flutter 的文档,是最全面的一次对 Flutter 的了解过程。但是如果我们只有 8 小时的时间,我希望能关注一些最值得关注的点。
(跨平台开发(Flutter)、java基础与原理,自定义view、NDK、架构设计、性能优化、完整商业项目开发等)
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可获取!
(跨平台开发(Flutter)、java基础与原理,自定义view、NDK、架构设计、性能优化、完整商业项目开发等)
[外链图片转存中…(img-nC7CGUhb-1714797277129)]
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可获取!