1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大组件,他们的安全性是非常重要的。四大组件的安全漏洞主要集中在是否可以被外部调用,外部调用是否存在风险。
四大组件是否可以被外部调用,决定因素是在AndroidManifest.xml里面定义的四大组件的标签export的布尔值。如下:
<activity
android:name=".PartActivity"
android:theme="@android:style/Theme.Dialog"
android:export="true">
</activity>
export为true,表示PartActivity可以被外部调用。export如果为false,表示PartActivity不可以被外部调用。
我们注意到我们在定义四大组件时,经常是不写export这个标签的,那么系统默认的export是什么呢?
(1)、如果四大组件包含intent-filter,那么Android系统认为这个组件可以被外部通过隐式调用,所以默认export为true。
<activity
android:name=".MainActivity"
android:label="MainActivity" >
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
(2)、如果四大组件不包含intent-filter,那么Android系统认为这个组件值只可以被内部通过显式调用,所以默认export为false。
<activity
android:name=".PartActivity"
android:theme="@android:style/Theme.Dialog" >
</activity>
2、为了增加四大组件的安全,可以定义访问某个组件需要某个权限。
<activity
android:name=".PartActivity"
android:theme="@android:style/Theme.Dialog" >
android:permission="com.example.test.permission"
</activity>
<permission android:name="com.example.test.permission"
android:protectionLevel="dangerous"
android:label="test"
android:description="test_permission" />
如果需要使用必须在AndroidManifest.xml,通过申请权限可以,另外也要注意protectionLevel,如果是Signature,那么只有和这个应用使用相同私钥签名的应用才可以申请这个权限。
<uses-permission android:name="com.example.test.permission" />
3、Intent启动不同组件的方法如下:
组件名称 | 方法名称 |
Activity | startActivity() startActivityForResult() |
Service | startService() bindService() |
Broadcasts | sendBroadcast() sendOrderedBroadcast() sendStickyBroadcast() |
sendBroadcast,有一个方法,可以不用在AndroidManifest.xml里面声明,uses-permission; 直接发送时附带权限,sendBroadcast(intent, receiverPermission)。动态注册的receiver可以在代码中指定需要访问它所需要的权限。
4、ContentProvider安全
<provider
android:name=".StudentContentProvider"
android:authorities="com.example.loadermanagerdemo.StudentContentProvider"
android:readPermission="com.example.testapps.readPermission"
android:writePermission="com.example.testapps.writePermission"
>
</provider>
需要读contentProvider时,要申请readPermission,需要写contentProvider时,需申请writePermission。