AndroidManifest里＜application ...＞常用属性

android:allowBackup=“true”

AllowBackup是在Android 2.2中引入的一个系统备份的功能。允许用户备份系统应用和第三方应用的apk安装包和应用数据，以便在刷机或者数据丢失后恢复应用，用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复。第三方应用开发者需要在应用的 AndroidManifest.xml 文件中配置 allowBackup 标志(默认为 true )来设置应用数据是否能能够被备份或恢复。

原文链接：https://blog.csdn.net/mysimplelove/article/details/84073013
allowBackup会引起的高危漏洞是什么？

Android属性allowBackup安全风险源于adb backup容许任何一个能够打开USB 调试开关的人从Android手机中复制应用数据到外设，一旦应用数据被备份之后，所有应用数据都可被用户读取；adb restore容许用户指定一个恢复的数据来源（即备份的应用数据）来恢复应用程序数据的创建。因此，当一个应用数据被备份之后，用户即可在其他Android手机或模拟器上安装同一个应用，以及通过恢复该备份的应用数据到该设备上，在该设备上打开该应用即可恢复到被备份的应用程序的状态。

尤其是通讯录应用，一旦应用程序支持备份和恢复功能，攻击者即可通过adb backup和adb restore进行恢复新安装的同一个应用来查看聊天记录等信息；对于支付金融类应用，攻击者可通过此来进行恶意支付、盗取存款等；因此为了安全起见，开发者务必将allowBackup标志值设置为false来关闭应用程序的备份和恢复功能，以免造成信息泄露和财产损失。

该漏洞的解决方案：

1.将allowBackup 的值设置为false；（allowBackup的值为false 对项目运行没有任何影响）

2.通过手机设备的IMEI号来辨识来设备编号和备份前是否一致，不一致则直接跳转登陆页面的同时清空当前应用数据及缓存；

那么allowBackup为true时怎么备份数据呢？
1.打开控制台，输入adb backup -f back.ab -noapk 项目包名（至于怎么查看某个apk的包名请看最后的链接地址）
。。。

android:networkSecurityConfig=“@xml/xxx”

从Nougat（Android 7）一个名为“Network Security Configuration”的新安全功能也随之而来。如果应用程序的SDK高于或等于24，则只有系统证书才会被信任。
网络安全性配置特性让应用可以在一个安全的声明性配置文件中自定义其网络安全设置，而无需修改应用代码。可以针对特定域和特定应用配置这些设置。此特性的主要功能如下所示：

自定义信任锚：针对应用的安全连接自定义哪些证书颁发机构 (CA) 值得信任。例如，信任特定的自签署证书或限制应用信任的公共 CA 集。
仅调试重写：在应用中以安全方式调试安全连接，而不会增加已安装用户的风险。
明文通信选择退出：防止应用意外使用明文通信。
证书固定：将应用的安全连接限制为特定的证书。

google在android p为了安全起见,已经明确规定禁止http协议额,但是之前很多接口都是http协议，我们一般是这样解决的：
在res目录下创建xml目录,然后随便创建一个.xml文件,里面内容如下:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true" />
</network-security-config>

下面分别来看看具体的用法：
参考：https://blog.csdn.net/cpcpcp123/article/details/108063189

android:supportsRtl=“true”

声明你的application是否愿意支持从右到左(原来RTL就是right-to-left 的缩写…)的布局

布局注意：

如果要使用RTL布局，还应该注意一个重要的问题。假设一个水平线性布局中有两个标签：TextView1和TextView2。TextView1位于窗口的左上角，而TextVew2在TextView1的右侧，到TextView1的距离是100dp。实际上就是TextView2的左边缘到TextView1的右边缘的距离。如果当前是默认布局方式（LTR，从左到右，Left-to-Right），只需要将TextView2的android:layout_marginLeft属性值设为"100dp"即可。不过这在RTL布局中却恰好相反。在RTL布局中，TextView1在窗口的右上角，而TextView2却跑到了TextView1的左侧，所以TextView2到TextView1的距离实际上变成了TextView2的右边缘到TextView1的左边缘的距离。因此应该设置TextView2的android:layout_marginRight属性，这样就会造成RTL和LTR两种布局模式中UI排列的混乱。为了解决这个问题，在Android 4.2中新加了如下两个布局属性。

android:layout_marginStart：如果在LTR布局模式下，该属性等同于android:layout_marginLeft。如果在RTL布局模式下，该属性等同于android:layout_marginRight。

android:layout_marginEnd：如果在LTR布局模式下，该属性等同于android:layout_marginRight。如果在RTL布局模式下，该属性等同于android:layout_marginLeft。

参考：https://blog.csdn.net/bzlj2912009596/article/details/80768695

android:usesCleartextTraffic=“true”

android：usesCleartextTraffic 指示应用程序是否打算使用明文网络流量，例如明文HTTP。目标API级别为27或更低的应用程序的默认值为“ true”。面向API级别28或更高级别的应用默认为“ false”。
当属性设置为“ false”时，平台组件（例如，HTTP和FTP堆栈，DownloadManager和MediaPlayer）将拒绝应用程序使用明文流量的请求。强烈建议第三方库也采用此设置。避免明文通信的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听所传输的数据，并且还可以对其进行修改而不会被检测到。

参考：https://blog.csdn.net/qianxiangsen/article/details/102920337

自研产品推荐

历时一年半多开发终于smartApi-v1.0.0版本在2023-09-15晚十点正式上线
smartApi是一款对标国外的postman的api调试开发工具，由于开发人力就作者一个所以人力有限，因此v1.0.0版本功能进行精简，大功能项有：

• api参数填写
• api请求响应数据展示
• PDF形式的分享文档
• Mock本地化解决方案
• api列表数据本地化处理
• 再加上UI方面的打磨

为了更好服务大家把之前的公众号和软件激活结合，如有疑问请大家反馈到公众号即可，下个版本30%以上的更新会来自公众号的反馈。
嗯！先解释不上服务端原因，API调试工具的绝大多数时候就是一个数据模型、数据处理、数据模型理解共识的问题解决工具，所以作者结合自己十多年开发使用的一些痛点来打造的，再加上服务端开发一般是面向企业的，作者目前没有精力和时间去打造企业服务。再加上没有资金投入所以服务端开发会滞后，至于什么时候会进行开发，这个要看募资情况和用户反馈综合考虑。虽然目前国内有些比较知名的api工具了，但作者使用后还是觉得和实际使用场景不符。如果有相关吐槽也可以在作者的公众号里反馈蛤！
下面是一段smartApi使用介绍：

下载地址：

https://pan.baidu.com/s/1kFAGbsFIk3dDR64NwM5y2A?pwd=csdn