exported属性为四大组件共有属性,其中含义大同小异。默认值由其包罗 与否决定。若未包罗,默认为“false”,若存在至少一个,则默认值为“true”。
在Activity中:
表示是否允许外部应用组件启动。若为“false”,则 Activity 只能由同一应用或同一用户 ID 的不同应用启动。
在Service中:
表示是否允许外部应用组件调用服务或与其进行交互。若为“false”,则 Activity 只能由同一应用或同一用户 ID 的不同应用启动。
在Receiver中:
表示是否可以接收来自其应用步伐之外的消息,如来自体系或或其他应用的广播。若为“ false”,则广播接收器只能接收具有雷同用户ID的雷同应用步伐或应用步伐的组件发送的消息。
在Provider中:
表示是否允许其他应用步伐访问内容提供器。若为“false”,则具有与Provider雷同的用户ID(UID)的应用步伐才气访问它。如果必要给其他应用步伐提供内容,则应当限定读写权限。
1、在AndroidManifest.xml中界说一个名称为com.fedming.demo.ACCESS的权限:
<permission android:description=“string resource”
android:icon=“drawable resource”
android:label=“string resource”
android:name=“com.fedming.demo.ACCESS”
android:permissionGroup=“string resource”
android:protectionLevel=[“normal” | “dangerous” | “signature” | …] />
2、android:protectionLevel=”signature”表示署名保护级别,“署名”级别权限的内容对用户完全透明开放,而且只有由实行权限检查的应用的开发者署名的应用才可访问这些内容。
3、应用到四大组件大概Application中android:permission=”com.fedming.demo.ACCESS”,即可实现对非同一署名应用的限制性访问。一样寻常用于一些内部应用之间共享的私有组件。
使用更加安全高效的LocalBroadcastManager
区别基于Binder实现的BroadcastReceiver,LocalBroadcastManager 是基于Handler实现的,拥有更高的服从与安全性。安全性主要体现在数据仅限于应用内部传输,制止广播被拦截、伪造、篡改的风险。简单了解下用法:
public class MyReceiver extends BroadcastReceiver {
@Override
public void onReceive(Context context, Intent intent) {
//Do SomeThing Here
}
}
MyReceiver myReceiver = new MyReceiver();
LocalBroadcastManager localBroadcastManager = LocalBroadcastManager.getInstance(this);
IntentFilter filter = new IntentFilter();
filter.addAction(“MY_ACTION”);
localBroadcastManager.registerReceiver(myReceiver, filter);
Bundle bundle = new Bundle();
bundle.putParcelable(“DATA”, content);
Intent intent = new Intent();
intent.setAction(“MY_ACTION”);
intent.putExtras(bundle);
LocalBroadcastManager.getInstance(context).sendBroadcast(intent);
@Override
protected void onDestroy() {
super.onDestroy();
localBroadcastManager.unregisterReceiver(myReceiver);
}
Application相关属性设置
- debugable属性 android:debuggable=[“true” | “false”]
很多人说要在发布的时间手动设置该值为false,其实根据官方文档说明,默认值就是false。
- allowBackup属性 android:allowBackup=[“true” | “false”]
设置是否支持备份,默认值为true,应当慎重支持该属性,制止应用内数据通过备份造成的走漏问题。
三、WebView安全
提到对于Android4.2以下的JS恣意代码实行毛病,Android4.2以下?不必支持了吧!
- 请使用https的链接,第一是安全;第二是制止被恶心的运营商挟制,插入广告,影响用户体验。
- 处置惩罚file协议安全毛病
//若不需支持,则直接克制 file 协议
setAllowFileAccess(false);
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);
由于webView默认开启密码保存功能,所以在用户输入密码时,会弹出提示框,询问用户是否保存。若选择保存,则密码会以明文情势保存到 /data/data/com.package.name/databases/webview.db中,如许就有被偷取密码的伤害。所以我们应该克制网页保存密码,设置WebSettings.setSavePassword(false)
<meta-data android:name=“android.webkit.WebView.EnableSafeBrowsing”
android:value=“true” />
…
启用安全欣赏模式后,WebView 将参考安全欣赏的恶意软件和钓鱼网站数据库检察访问的 URL ,在用户打开之前给予伤害提示,体验类似于Chrome欣赏器。
四、数据存储安全;
此类设置应当妥善存放,不要在类中硬编码敏感信息,可以使用JNI将敏感信息写到Native层。
首先不应当使用SharePreferences来存放敏感信息。存储一些设置信息时也要设置好访问权限,如私有的访问权限 MODE_PRIVATE,制止设置信息被篡改。
制止明文保存署名密码,可以将密码保存到当地,无需上传版本控制体系
在app目录下建立一个不参加版本控制体系的gradle.properties文件:
STORE_PASSWORD = qwer1234
KEY_PASSWORD = demo1234
KEY_ALIAS = demokey
gradle将主动引入gradle.properties文件,可以直接在buld.gradle文件中使用:
signingConfigs {
release {
try {
storeFile file(“E:\FDM\Key\demo.jks”)
storePassword STORE_PASSWORD
keyAlias KEY_ALIAS
keyPassword KEY_PASSWORD
}catch (ex) {
throw new InvalidUserDataException(“You should define KEYSTORE_PASSWORD and KEY_PASSWORD in gradle.properties.”)
}
}
}
五、数据传输安全
HTTPS的主要头脑是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中心人攻击提供合理的防护。可以说是非常基础的安全防护级别了。
该特性让应用可以在一个安全的声明性设置文件中机动的自界说其网络安全设置,而无需修改应用代码,满意更高的安全性要求。
在AndroidManifest.xml中设置networkSecurityConfig:
<?xml version="1.0" encoding="utf-8"?> <manifest … >
<application android:networkSecurityConfig=“@xml/network_security_config”
… >
…
network_security_config文件如下:
<?xml version="1.0" encoding="utf-8"?> example.com
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
